微隔离、EDR、CWPP在当下可谓是炙手可热的三个新技术名词,但是三者之间到底是什么关系,不仅对于普通用户来说不太明白,甚至一些圈内人士也未必能说的清楚。
作为一家致力于研究微隔离技术的创新型企业,蔷薇灵动今天给大家普及一下这三者之间的关系。
蔷薇灵动-微隔离
微隔离、EDR、CWPP三者的技术定义
在具体分析这三个技术的差别和关系之前,需要先给它们各自做个定义。
EDR:从EPP脱胎而来,核心能力在于深入的行为分析与系统响应。EDR中的D说的就是侦测(detection)。与过去的基于特征的签名比对技术不同,EDR一般来说是利用对系统行为的建模与数学分析来发现攻击。
CWPP:顾名思义,这是为云计算工作负载提供安全防护的产品。CWPP也可以认为是从EPP分化出来的,因为云计算工作负载或者服务器自身的计算特征以及所面临的安全威胁的类型都完全不一样,直接将终端产品拿过来用往往并不合适,所以Gartner专门定义了一个CWPP产品,大家如果有兴趣去看会发现,CWPP和EPP有一定的功能重叠,但区别还是非常大的,所以Gartner将其定义为两个不同的品类。
微隔离:对工作负载之间的访问流量进行可视化分析和访问控制的产品。微隔离可以认为是对防火墙技术的发展与颠覆,用来对数据中心网络进行点到点的精细化访问控制。
基本上,国外的厂商就是按照以上定义在做产品,但是国内厂商往往在产品规划与宣传的时候比较自由。到今天,颇有点不会做微隔离的EDR不是好CWPP的味道。所以,只能说我们讨论的是EDR、CWPP和微隔离这些技术的基本定义,而不是某个厂商的产品。
三者之间的关系与区别
对于想要明白EDR、CWPP、微隔离三者之间的关系与区别,我们尝试从应该从以下角度来做个去分析。
适用范围的区别
首先,要明确一件事情,那就是终端(endpoint)和服务器/工作负载(server/workload)是两类东西。终端就是指桌面电脑、笔记本、个人设备这一类用于访问网络、数据和应用的设备。而服务器/工作负载是提供服务、存储、计算的设备。这两者的区分一直非常明确。但是,在国内似乎有一种把这个区分给取消的声音,大家在把端点的概念泛化,把所有具备独立操作系统的东西都称之为端点。这种滥用给市场带来了信息上的混乱,也给用户在产品选型时带来了困扰。大家只要记住,EPP和CWPP是Gartner分别独立定义的产品就好了。从这个视角看,EDR是面向终端的产品,而CWPP和微隔离是面向服务器和工作负载的产品。
命名方式的区别
从命名的方式上看,EDR,微隔离和CWPP的关系类似于面条,包子和快餐的关系。面条是一种食品,包子也是一种食品,但是快餐不是一种食品,它是一个品类。EDR是一种有所特指的技术,微隔离是另一种有所特指的技术,但是CWPP不是一种技术,事实上它是一堆技术的统称。正如名字所表达的那样,它是一种平台,在这个平台上可以承载很多技术。
CWPP作为一个品类泛指一种能为服务器/工作负载提供防护的安全产品,而其具体的技术构成因厂商而异会有比较大的差异。一般来说,微隔离作为云计算安全的一个核心安全能力需要被CWPP厂商所支持,但是如果不支持微隔离,也不妨碍它被称作CWPP,因它还可以做其他诸如资产、漏洞、入侵侦测一类的典型CWPP能力。而与此同时呢,如果你把一个做微隔离的厂商称之为CWPP厂商,也是没毛病的。但还是必须要指出,CWPP可以承载微隔离但是不应该承载EDR,否则在定义上就矛盾了。
方法论的区别
CWPP作为一个品类,它可以承载很多不同的技术类型,所以其自身反而是个中性词,没什么方法论倾向。而EDR和微隔离却代表着两类截然不同的安全方法论。我们先扔个结论,EDR是攻防对抗思想的高峰,而微隔离是零信任思想的基石。
EDR的核心能力是异常行为分析,虽然相较于传统杀毒软件的基于恶意代码签名的特征匹配方式有了长足进步,但是它们的技术本质是一致的,那就是永无止境的猫鼠游戏,攻击者想尽办法去隐藏,防御者想尽办法去发现。
而微隔离的技术思路则完全颠覆了攻防对抗的思想,它是当下正当红的“零信任”安全思想的核心技术。作为一种零信任技术,微隔离不再感兴趣坏人长什么样子,相反它更关心好人长什么样子。我们可以看到微隔离完全是基于白名单的一种技术,而EDR则需要配置黑名单。看到很多所谓的微隔离产品还在配黑名单,事实上这就很违和了,而在EDR上开启微隔离也是很有创造性.。
综上,微隔离、EDR、CWPP、微隔离三者究竟什么关系?理论上,EDR管办公网,CWPP和微隔离管数据中心。微隔离是一种网络安全技术,而CWPP是个筐,它可以装载微隔离也可以不装,而微隔离也可以被认为是只装有一个技术的CWPP。EDR发现坏人,微隔离放行好人。
来源:互联网