當下,微隔離���、EDR�����、CWPP�、微隔離可謂是炙手可熱的三個新技術(shù)名詞,但是三者之間到底是什么關(guān)系,不僅對于普通用戶來說不太明白,甚至一些圈內(nèi)人士也未必能說的清楚�����。
作為一家致力于研究微隔離技術(shù)的創(chuàng)新型企業(yè),薔薇靈動今天給大家普及一下這三者之間的關(guān)系����。
三者的技術(shù)定義
在具體分析這三個技術(shù)的差別和關(guān)系之前,需要先給它們各自做個定義。
EDR:從EPP脫胎而來,核心能力在于深入的行為分析與系統(tǒng)響應(yīng)����。EDR中的D說的就是偵測(detection)��。與過去的基于特征的簽名比對技術(shù)不同,EDR一般來說是利用對系統(tǒng)行為的建模與數(shù)學分析來發(fā)現(xiàn)攻擊�。
CWPP:顧名思義,這是為云計算工作負載提供安全防護的產(chǎn)品�。CWPP也可以認為是從EPP分化出來的,因為云計算工作負載或者服務(wù)器自身的計算特征以及所面臨的安全威脅的類型都完全不一樣,直接將終端產(chǎn)品拿過來用往往并不合適,所以Gartner專門定義了一個CWPP產(chǎn)品,大家如果有興趣去看會發(fā)現(xiàn),CWPP和EPP有一定的功能重疊,但區(qū)別還是非常大的,所以Gartner將其定義為兩個不同的品類。
微隔離:對工作負載之間的訪問流量進行可視化分析和訪問控制的產(chǎn)品�����。微隔離可以認為是對防火墻技術(shù)的發(fā)展與顛覆,用來對數(shù)據(jù)中心網(wǎng)絡(luò)進行點到點的精細化訪問控制�����。
基本上,國外的廠商就是按照以上定義在做產(chǎn)品,但是國內(nèi)廠商往往在產(chǎn)品規(guī)劃與宣傳的時候比較自由����。到今天,頗有點不會做微隔離的EDR不是好CWPP的味道。所以,只能說我們討論的是EDR����、CWPP和微隔離這些技術(shù)的基本定義,而不是某個廠商的產(chǎn)品。
三者之間的關(guān)系與區(qū)別
對于想要明白EDR���、CWPP、微隔離三者之間的關(guān)系與區(qū)別,我們嘗試從應(yīng)該從以下角度來做個去分析����。
適用范圍的區(qū)別
首先,要明確一件事情,那就是終端(endpoint)和服務(wù)器/工作負載(server/workload)是兩類東西��。終端就是指桌面電腦��、筆記本����、個人設(shè)備這一類用于訪問網(wǎng)絡(luò)�����、數(shù)據(jù)和應(yīng)用的設(shè)備����。而服務(wù)器/工作負載是提供服務(wù)、存儲���、計算的設(shè)備���。這兩者的區(qū)分一直非常明確。但是,在國內(nèi)似乎有一種把這個區(qū)分給取消的聲音,大家在把端點的概念泛化,把所有具備獨立操作系統(tǒng)的東西都稱之為端點����。這種濫用給市場帶來了信息上的混亂,也給用戶在產(chǎn)品選型時帶來了困擾����。大家只要記住,EPP和CWPP是Gartner分別獨立定義的產(chǎn)品就好了����。從這個視角看,EDR是面向終端的產(chǎn)品,而CWPP和微隔離是面向服務(wù)器和工作負載的產(chǎn)品。
命名方式的區(qū)別
從命名的方式上看,EDR,微隔離和CWPP的關(guān)系類似于面條,包子和快餐的關(guān)系�。面條是一種食品,包子也是一種食品,但是快餐不是一種食品,它是一個品類。EDR是一種有所特指的技術(shù),微隔離是另一種有所特指的技術(shù),但是CWPP不是一種技術(shù),事實上它是一堆技術(shù)的統(tǒng)稱��。正如名字所表達的那樣,它是一種平臺,在這個平臺上可以承載很多技術(shù)���。
CWPP作為一個品類泛指一種能為服務(wù)器/工作負載提供防護的安全產(chǎn)品,而其具體的技術(shù)構(gòu)成因廠商而異會有比較大的差異���。一般來說,微隔離作為云計算安全的一個核心安全能力需要被CWPP廠商所支持,但是如果不支持微隔離,也不妨礙它被稱作CWPP,因它還可以做其他諸如資產(chǎn)、漏洞�、入侵偵測一類的典型CWPP能力。而與此同時呢,如果你把一個做微隔離的廠商稱之為CWPP廠商,也是沒毛病的����。但還是必須要指出,CWPP可以承載微隔離但是不應(yīng)該承載EDR,否則在定義上就矛盾了。
方法論的區(qū)別
CWPP作為一個品類,它可以承載很多不同的技術(shù)類型,所以其自身反而是個中性詞,沒什么方法論傾向��。而EDR和微隔離卻代表著兩類截然不同的安全方法論。我們先扔個結(jié)論,EDR是攻防對抗思想的高峰,而微隔離是零信任思想的基石�����。
EDR的核心能力是異常行為分析,雖然相較于傳統(tǒng)殺毒軟件的基于惡意代碼簽名的特征匹配方式有了長足進步,但是它們的技術(shù)本質(zhì)是一致的,那就是永無止境的貓鼠游戲,攻擊者想盡辦法去隱藏,防御者想盡辦法去發(fā)現(xiàn)�。
而微隔離的技術(shù)思路則完全顛覆了攻防對抗的思想,它是當下正當紅的“零信任”安全思想的核心技術(shù)����。作為一種零信任技術(shù),微隔離不再感興趣壞人長什么樣子,相反它更關(guān)心好人長什么樣子。我們可以看到微隔離完全是基于白名單的一種技術(shù),而EDR則需要配置黑名單�������?吹胶芏嗨^的微隔離產(chǎn)品還在配黑名單,事實上這就很違和了,而在EDR上開啟微隔離也是很有創(chuàng)造性.���。
綜上,微隔離����、EDR��、CWPP�、微隔離三者究竟什么關(guān)系?理論上,EDR管辦公網(wǎng),CWPP和微隔離管數(shù)據(jù)中心���。微隔離是一種網(wǎng)絡(luò)安全技術(shù),而CWPP是個筐,它可以裝載微隔離也可以不裝,而微隔離也可以被認為是只裝有一個技術(shù)的CWPP。EDR發(fā)現(xiàn)壞人,微隔離放行好人��。
(新媒體責編:syhz0808)
京公網(wǎng)安備 11010602130064號
