<i id="0io7s"></i>
<object id="0io7s"></object>
<i id="0io7s"></i>
<thead id="0io7s"></thead>
  • <optgroup id="0io7s"><del id="0io7s"></del></optgroup><thead id="0io7s"><del id="0io7s"></del></thead>
  • <thead id="0io7s"></thead>
  • 關于薔薇

    薔薇靈動就是自適應微隔離

    全部分類
    資訊分類

    EDR、CWPP、微隔離——這仨貨到底啥關系?

    • 分類:觀點
    • 作者:
    • 來源:
    • 發布時間:2020-08-19 14:37
    • 訪問量:

    【概要描述】EDR管辦公網,CWPP和微隔離管數據中心。微隔離是一種網絡安全技術,而CWPP是個筐,它可以裝載微隔離也可以不裝,而微隔離也可以被認為是只裝有一個技術的CWPP。EDR發現壞人,微隔離放行好人。

    EDR、CWPP、微隔離——這仨貨到底啥關系?

    【概要描述】EDR管辦公網,CWPP和微隔離管數據中心。微隔離是一種網絡安全技術,而CWPP是個筐,它可以裝載微隔離也可以不裝,而微隔離也可以被認為是只裝有一個技術的CWPP。EDR發現壞人,微隔離放行好人。

    • 分類:觀點
    • 作者:
    • 來源:
    • 發布時間:2020-08-19 14:37
    • 訪問量:
    詳情

    我們今天探討的問題就如標題所列,主要是關于三個炙手可熱的新技術之間的關系問題。我們(薔薇靈動)一直認為這三個技術的區分是比較直觀明了的,但事實上發現還真不是這樣,別說普通用戶,就連圈子里面的產品經理也不是都能講得明白,而當我們看到有的用戶把大量的EDR裝在云計算工作負載上,我們認為有必要寫一篇技術文章做個探討。

     

     

    技術定義

     

    在具體分析這三個技術的差別之前,我們有必要先給它們各自做個定義,以確保我們后續的討論是基于某些明確的技術概念(這個很重要)。另外,這里還要聲明,本段定義完全出于筆者的經驗認知,不嚴謹不正規,不接受抬杠。

    01 EDR

    從EPP脫胎而來,核心能力在于深入的行為分析與系統響應。EDR中的D說的就是偵測(detection)。與過去的基于特征的簽名比對技術不同,EDR一般來說是利用對系統行為的建模與數學分析來發現攻擊。

    02 CWPP

    顧名思義,這是為云計算工作負載提供安全防護的產品。CWPP也可以認為是從EPP分化出來的,因為云計算工作負載或者服務器自身的計算特征以及所面臨的安全威脅的類型都完全不一樣,直接將終端產品拿過來用往往并不合適,所以Gartner專門定義了一個CWPP產品,大家如果有興趣去看會發現,CWPP和EPP有一定的功能重疊,但區別還是非常大的,所以Gartner將其定義為兩個不同的品類。

    03 微隔離

    對工作負載之間的訪問流量進行可視化分析和訪問控制的產品。微隔離可以認為是對防火墻技術的發展與顛覆,用來對數據中心網絡進行點到點的精細化訪問控制。

    基本上,國外的廠商就是按照以上定義在做產品,但是國內廠商往往在產品規劃與宣傳的時候比較那個...自由。到今天,頗有點不會做微隔離的EDR不是好CWPP的味道。所以,我們就只能說我們討論的是EDR、CWPP和微隔離這些技術的基本定義,而不是哪個廠商的產品。

     
     
     
    關系與區別

     

    01 適用范圍的區別

    首先我們要明確一件事情,那就是終端(endpoint)和服務器/工作負載(server/workload)是兩類東西。終端就是指桌面電腦、筆記本、個人設備這一類用于訪問網絡、數據和應用的設備。而服務器/工作負載是提供服務、存儲、計算的設備。這兩者的區分一直非常明確。但是,在國內似乎有一種把這個區分給取消的聲音,大家在把端點的概念泛化,把所有具備獨立操作系統的東西都稱之為端點。這種濫用給市場帶來了信息上的混亂,也給用戶在產品選型時帶來了困擾。大家只要記住,EPP和CWPP是Gartner分別獨立定義的產品就好了。從這個視角看,EDR是面向終端的產品,而CWPP和微隔離是面向服務器和工作負載的產品。

     

    02 命名方式的區別

    從命名的方式上看,EDR,微隔離和CWPP的關系類似于面條,包子和快餐的關系。面條是一種食品,包子也是一種食品,但是快餐不是一種食品,它是一個品類。EDR是一種有所特指的技術,微隔離是另一種有所特指的技術,但是CWPP不是一種技術,事實上它是一堆技術的統稱。正如名字所表達的那樣,它是一種平臺,在這個平臺上可以承載很多技術。

     

    一般來說,做快餐的都會做包子和面條,但是如果他不做,沒毛病,他還可以賣蓋澆飯、大盤雞。反過來呢,我們也可以把包子和面條叫做快餐,這也沒毛病。CWPP作為一個品類泛指一種能為服務器/工作負載提供防護的安全產品,而其具體的技術構成因廠商而異會有比較大的差異。一般來說,微隔離作為云計算安全的一個核心安全能力需要被CWPP廠商所支持,但是如果不支持微隔離,也不妨礙它被稱作CWPP,因它還可以做其他諸如資產、漏洞、入侵偵測一類的典型CWPP能力。而與此同時呢,如果你把一個做微隔離的廠商稱之為CWPP廠商,也是沒毛病的。但還是必須要指出,CWPP可以承載微隔離但是不應該承載EDR,否則在定義上就矛盾了。

     

    03 方法論的區別

    CWPP作為一個品類,它可以承載很多不同的技術類型,所以其自身反而是個中性詞,沒什么方法論傾向。而EDR和微隔離卻代表著兩類截然不同的安全方法論。我們先扔個結論,EDR是攻防對抗思想的高峰,而微隔離零信任思想的基石。

     

    EDR的核心能力是異常行為分析,雖然相較于傳統殺毒軟件的基于惡意代碼簽名的特征匹配方式有了長足進步,但是它們的技術本質是一致的,那就是永無止境的貓鼠游戲,攻擊者想盡辦法去隱藏,防御者想盡辦法去發現。

     

    微隔離的技術思路則完全顛覆了攻防對抗的思想,它是當下正當紅的“零信任”安全思想的核心技術。作為一種零信任技術,微隔離不再感興趣壞人長什么樣子,相反它更關心好人長什么樣子。壞人會想盡辦法躲避你,而好人會竭盡努力配合你。所以,相較于發現壞人,識別好人要容易得多。所以,我們可以看到微隔離完全是基于白名單的一種技術,而EDR則需要配置黑名單??吹胶芏嗨^的微隔離產品還在配黑名單,事實上這就很違和了,而在EDR上開啟微隔離也是很有創造性...

     

     
    總結

     

    EDR、CWPP、微隔離這仨貨究竟啥關系?理論上,EDR管辦公網,CWPP和微隔離管數據中心。微隔離是一種網絡安全技術,而CWPP是個筐,它可以裝載微隔離也可以不裝,而微隔離也可以被認為是只裝有一個技術的CWPP。EDR發現壞人,微隔離放行好人。

     

     

    關鍵詞:

    北京市昌平區回龍觀東大街首開廣場3層309

    版權所有:Copyright 2018 北京薔薇靈動科技有限公司    京ICP備18016518號-1  

    Dunarose