薔薇靈動(dòng)-微隔離
微隔離�����、EDR���、CWPP三者的技術(shù)定義
在具體分析這三個(gè)技術(shù)的差別和關(guān)系之前,需要先給它們各自做個(gè)定義����。
EDR:從EPP脫胎而來,核心能力在于深入的行為分析與系統(tǒng)響應(yīng)。EDR中的D說的就是偵測(cè)(detection)��。與過去的基于特征的簽名比對(duì)技術(shù)不同,EDR一般來說是利用對(duì)系統(tǒng)行為的建模與數(shù)學(xué)分析來發(fā)現(xiàn)攻擊。
CWPP:顧名思義,這是為云計(jì)算工作負(fù)載提供安全防護(hù)的產(chǎn)品���。CWPP也可以認(rèn)為是從EPP分化出來的,因?yàn)樵朴?jì)算工作負(fù)載或者服務(wù)器自身的計(jì)算特征以及所面臨的安全威脅的類型都完全不一樣,直接將終端產(chǎn)品拿過來用往往并不合適,所以Gartner專門定義了一個(gè)CWPP產(chǎn)品,大家如果有興趣去看會(huì)發(fā)現(xiàn),CWPP和EPP有一定的功能重疊,但區(qū)別還是非常大的,所以Gartner將其定義為兩個(gè)不同的品類���。
微隔離:對(duì)工作負(fù)載之間的訪問流量進(jìn)行可視化分析和訪問控制的產(chǎn)品。微隔離可以認(rèn)為是對(duì)防火墻技術(shù)的發(fā)展與顛覆,用來對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)進(jìn)行點(diǎn)到點(diǎn)的精細(xì)化訪問控制����。
基本上,國外的廠商就是按照以上定義在做產(chǎn)品,但是國內(nèi)廠商往往在產(chǎn)品規(guī)劃與宣傳的時(shí)候比較自由。到今天,頗有點(diǎn)不會(huì)做微隔離的EDR不是好CWPP的味道��。所以,只能說我們討論的是EDR���、CWPP和微隔離這些技術(shù)的基本定義,而不是某個(gè)廠商的產(chǎn)品����。
三者之間的關(guān)系與區(qū)別
對(duì)于想要明白EDR�����、CWPP�����、微隔離三者之間的關(guān)系與區(qū)別,我們嘗試從應(yīng)該從以下角度來做個(gè)去分析。
適用范圍的區(qū)別
首先,要明確一件事情,那就是終端(endpoint)和服務(wù)器/工作負(fù)載(server/workload)是兩類東西����。終端就是指桌面電腦、筆記本����、個(gè)人設(shè)備這一類用于訪問網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用的設(shè)備����。而服務(wù)器/工作負(fù)載是提供服務(wù)、存儲(chǔ)�����、計(jì)算的設(shè)備�。這兩者的區(qū)分一直非常明確。但是,在國內(nèi)似乎有一種把這個(gè)區(qū)分給取消的聲音,大家在把端點(diǎn)的概念泛化,把所有具備獨(dú)立操作系統(tǒng)的東西都稱之為端點(diǎn)�����。這種濫用給市場(chǎng)帶來了信息上的混亂,也給用戶在產(chǎn)品選型時(shí)帶來了困擾����。大家只要記住,EPP和CWPP是Gartner分別獨(dú)立定義的產(chǎn)品就好了。從這個(gè)視角看,EDR是面向終端的產(chǎn)品,而CWPP和微隔離是面向服務(wù)器和工作負(fù)載的產(chǎn)品���。
命名方式的區(qū)別
從命名的方式上看,EDR,微隔離和CWPP的關(guān)系類似于面條,包子和快餐的關(guān)系�。面條是一種食品,包子也是一種食品,但是快餐不是一種食品,它是一個(gè)品類���。EDR是一種有所特指的技術(shù),微隔離是另一種有所特指的技術(shù),但是CWPP不是一種技術(shù),事實(shí)上它是一堆技術(shù)的統(tǒng)稱�。正如名字所表達(dá)的那樣,它是一種平臺(tái),在這個(gè)平臺(tái)上可以承載很多技術(shù)�。
CWPP作為一個(gè)品類泛指一種能為服務(wù)器/工作負(fù)載提供防護(hù)的安全產(chǎn)品,而其具體的技術(shù)構(gòu)成因廠商而異會(huì)有比較大的差異。一般來說,微隔離作為云計(jì)算安全的一個(gè)核心安全能力需要被CWPP廠商所支持,但是如果不支持微隔離,也不妨礙它被稱作CWPP,因它還可以做其他諸如資產(chǎn)�����、漏洞����、入侵偵測(cè)一類的典型CWPP能力。而與此同時(shí)呢,如果你把一個(gè)做微隔離的廠商稱之為CWPP廠商,也是沒毛病的���。但還是必須要指出,CWPP可以承載微隔離但是不應(yīng)該承載EDR,否則在定義上就矛盾了�。
方法論的區(qū)別
CWPP作為一個(gè)品類,它可以承載很多不同的技術(shù)類型,所以其自身反而是個(gè)中性詞,沒什么方法論傾向��。而EDR和微隔離卻代表著兩類截然不同的安全方法論。我們先扔個(gè)結(jié)論,EDR是攻防對(duì)抗思想的高峰,而微隔離是零信任思想的基石�。
EDR的核心能力是異常行為分析,雖然相較于傳統(tǒng)殺毒軟件的基于惡意代碼簽名的特征匹配方式有了長足進(jìn)步,但是它們的技術(shù)本質(zhì)是一致的,那就是永無止境的貓鼠游戲,攻擊者想盡辦法去隱藏,防御者想盡辦法去發(fā)現(xiàn)。
而微隔離的技術(shù)思路則完全顛覆了攻防對(duì)抗的思想,它是當(dāng)下正當(dāng)紅的“零信任”安全思想的核心技術(shù)��。作為一種零信任技術(shù),微隔離不再感興趣壞人長什么樣子,相反它更關(guān)心好人長什么樣子����。我們可以看到微隔離完全是基于白名單的一種技術(shù),而EDR則需要配置黑名單??吹胶芏嗨^的微隔離產(chǎn)品還在配黑名單,事實(shí)上這就很違和了,而在EDR上開啟微隔離也是很有創(chuàng)造性.。
綜上,微隔離�、EDR、CWPP�����、微隔離三者究竟什么關(guān)系?理論上,EDR管辦公網(wǎng),CWPP和微隔離管數(shù)據(jù)中心��。微隔離是一種網(wǎng)絡(luò)安全技術(shù),而CWPP是個(gè)筐,它可以裝載微隔離也可以不裝,而微隔離也可以被認(rèn)為是只裝有一個(gè)技術(shù)的CWPP�。EDR發(fā)現(xiàn)壞人,微隔離放行好人。
來源:互聯(lián)網(wǎng)
