在疫情防控常态化的当下，数字技术在疫情防控中崭露锋芒，为数字经济发展按下了“快进键”。许多传统行业乘势而为，纷纷进行数字化转型，寻找新增长机会，逐步形成了“一业带百业”的势能。

早在4月10日，国家发展改革委、中央网信办就联合印发了《关于推进“上云用数赋智”行动培育新经济发展实施方案》，该方案明确提出“将在已有工作基础上，大力培育数字经济新业态，深入推进企业数字化转型，打造数据供应链，以数据流引领物资流、人才流、技术流、资金流，形成产业链上下游和跨行业融合的数字化生态体系。”

在此背景下，“云原生”也步入了加速发展期，尤其是充分发挥云效能的实践路径，是支撑数字化转型的重要技术。然而，随之而来的安全问题也不容忽视，特别是来自内部和外部的安全威胁，传统安全防护手段只能确保云上南北向流量安全，无法对云租户间东西向流量进行防护。2017年，Gartner提出了云工作负载安全平台（Cloud Workload Protection Platform，简称CWPP）以适应云原生安全对于租户安全、敏捷性、细粒度和复杂性的要求。

云工作负载是承载云计算的节点，包括物理机、虚拟机、容器、微服务和无服务器等节点，而CWPP是为混合云、多云工作负载提供保护的方法，可为不同位置、不同粒度的工作负载提供统一的监控和展示。

CWPP能力金字塔（如下图所示）包括：加固、配置和漏洞管理；基于身份的隔离和流量可视化；系统完整性保证；应用控制与白名单；漏洞利用预防和内存保护；服务器工作负载EDR行为监测、威胁检测和响应；具有漏洞屏蔽功能的主机防入侵；反恶意软件扫描。

其中属于核心能力的具体解决方法如下：

1、加固、配置和漏洞管理

主要方法包括删除不必要的组件；使用行业标准指南对镜像进行加固；使用外部扫描工具或服务；使用代理评估配置、合规性和漏洞状态。

2、基于身份的隔离和流量可视化

主要包括使用防火墙或基于身份的微隔离对工作负载或其他资源的流量进行隔离控制的方法；使用流量可视化和监视设置策略并监视偏差；使用流量加密传输。

3、系统完整性保证

主要方法包括测量BIOS、UEFI、其他固件及微代码的能力；测量镜像和容器的完整性；监视工作负载发现非正常状态并重置为所需设置。

4、应用控制与白名单

主要通过白名单或应用程序，使可执行文件处于拒绝或者零信任状态。

5、漏洞利用预防和内存保护

主要方法包括漏洞利用预防、地址空间布局随机化（ASLR）、seccomp（secure computing）。

网御星云云安全实践

网御CWPP云负载安全防护平台采用自适应安全架构和“管理平台+客户端”的部署方式解决公有云、私有云和混合云环境东西向（尤其是域内）安全防护问题。主要具备如下优势：

1、可对容器、数据库、进程等资产进行管理和清点。

2、能对完整性、操作审计、进程、资源、性能等进行监控展示。

3、可对主机发起深度检测，对检测出的恶意进程与软件进行隔离，对检测出的漏洞进行统计展示并修复方案。

4、支持端口安全防护、暴力破解防护、病毒防护、IP黑白名单设置、进程行为控制等安全防护功能。

在数字经济的发展风口，云技术的不断进步将为企业数字化转型注入了新的活力。作为网络安全秩序的维护者，网御星云愿以创新的安全技术和完善的安全服务，为云技术安全发展保驾护航。