云工作负载保护平台#

某公司拥有数百个 Kubernetes 集群，分布在多个云服务商和本地数据中心。安全团队面临一个严峻问题：他们不知道这些集群中有多少特权容器在运行，有多少容器存在已知漏洞，有多少 Secret 暴露在容器镜像中。

他们尝试用传统的主机安全工具扫描这些集群，但这些工具是为虚拟机设计的，不知道 Kubernetes 的语义——它们不知道 Deployment、ServiceAccount、RBAC 配置是什么。

这就是 CWPP 的价值所在——专门为云工作负载设计的安全平台，理解 Kubernetes 的语义，能够在容器、微服务、集群级别提供安全保护。

#CWPP（Cloud Workload Protection Platform）的定义

Gartner 将 CWPP 定义为：以工作负载为中心的安全解决方案，保护在云环境中运行的工作负载，包括容器、微服务、无服务器函数等。

CWPP 的核心特征：

工作负载感知：理解工作负��的上下文（Kubernetes 标签、命名空间、ServiceAccount），而不仅仅是 IP 和端口。

运行时保护：不仅扫描静态配置，还要在运行时检测和阻止恶意行为。

云原生设计：为容器、Kubernetes、云原生架构设计的解决方案，不是改造自传统主机安全工具。

#CWPP 与传统主机安全的关系

#传统主机安全的局限

#互补关系

CWPP 不是替代主机安全，而是补充：

主机安全：保护节点操作系统、节点级网络、节点资源。

CWPP：保护工作负载本身、容器运行时、Kubernetes 配置。

#CWPP 的核心能力

#漏洞管理

镜像扫描：集成到 CI/CD 流水线，在构建时和部署前扫描镜像。

运行时漏洞检测：检测容器运行时加载的可疑组件。

漏洞优先级排序：根据可利用性、攻击面、业务影响排序漏洞。

#合规检查

CIS Kubernetes Benchmark：检查 Kubernetes 配置是否符合 CIS 标准。

PCI DSS / SOC 2：检查是否符合合规要求。

自定义策略：根据内部安全要求定制检查规则。

#运行时保护

行为监控：检测异常进程、网络活动、文件系统访问。

威胁检测：检测已知的恶意软件、挖矿行为、反弹 Shell。

响应动作：隔离容器、终止进程、阻止网络连接。

#CWPP 工具对比

#Prisma Cloud

Prisma Cloud（Palo Alto Networks）是最全面的企业级 CWPP 平台。

核心功能：

• 容器镜像扫描（与 Prisma Cloud SCA 集成）
• Kubernetes 安全态势管理
• 运行时威胁检测
• 合规报告
• 云安全态势管理（CSPM）

部署模式：Agent + 无代理混合

优势：完整的云安全平台，与 Prisma CSPM 集成

#Sysdig

Sysdig 专注于运行时安全和容器可观测性。

核心功能：

• 容器镜像扫描
• 运行时威胁检测
• Kubernetes 审计日志分析
• Falco 商业版
• 云安全态势管理

技术特点：

• 基于 Sysdig 的系统调用捕获
• 与 Falco 集成
• Kubernetes 原生

部署模式：DaemonSet（每个节点一个 Agent）

#Gravitational（Teleport）

Gravitational 提供云原���安全访问管理。

核心功能：

• 安全的 kubectl 访问
• 会话录制和审计
• 基于证书的认证
• Kubernetes RBAC 增强

技术特点：

• 不是传统 CWPP
• 专注于访问控制和审计
• 适用于合规要求高的场景

#对比表

#K8s 环境的 CWPP 特性

#工作负载发现

# CWPP 自动发现集群中的工作负载
{
  "workloads": [
    {
      "type": "Deployment",
      "name": "api",
      "namespace": "production",
      "replicas": 3,
      "image": "myapp:v1.0",
      "securityContext": {
        "privileged": false,
        "runAsNonRoot": true
      }
    }
  ]
}

#容器合规检查

# 检查特权容器
apiVersion: v1
kind: Pod
metadata:
  name: non-compliant
  annotations:
    # CWPP 检查结果
    compliance.check: "FAILED"
    compliance.cis-benchmark: "1.2.1"
    compliance.recommendation: "Remove privileged: true"

#安全配置评估

#CWPP 的部署模式

#Agent 模式

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: sysdig-agent
  namespace: sysdig
spec:
  selector:
    matchLabels:
      app: sysdig-agent
  template:
    metadata:
      labels:
        app: sysdig-agent
    spec:
      hostNetwork: true
      dnsPolicy: ClusterFirst
      containers:
        - name: sysdig-agent
          image: sysdig/agent:latest
          securityContext:
            privileged: true
          env:
            - name: ACCESS_KEY
              valueFrom:
                secretKeyRef:
                  name: sysdig-access-key
                  key: access-key
          volumeMounts:
            - name: docker-sock
              mountPath: /var/run/docker.sock
            - name: sysdig-probe
              mountPath: /opt/draios/drives
      volumes:
        - name: docker-sock
          hostPath:
            path: /var/run/docker.sock
        - name: sysdig-probe
          hostPath:
            path: /opt/draios/drives

#无代理模式

无代理模式通过 Kubernetes API 和审计日志进行安全监控：

• 不需要额外的 Agent
• 性能开销最小
• 只能检测 API 可观察的行为
• 无法检测容器内部行为

#混合模式

最佳实践是结合 Agent 和无代理模式：

无代理用于：配置检查、合规扫描、RBAC 审计。

Agent 用于：运行时监控、行为分析、系统调用捕获。

#CWPP 与 CSPM 的关系

CWPP 和 CSPM 是云安全的两个互补维度：

完整的云安全策略应该同时使用 CSPM 和 CWPP：

• CSPM 防止配置错误引入风险
• CWPP 检测运行时威胁和漏洞

#CWPP 的选型标准

#评估维度

#选型建议

开发测试团队：优先考虑与 CI/CD 流水线的集成深度。

安全成熟团队：优先考虑告警质量、威胁检测能力、合规报告。

大型企业：优先考虑多集群管理、统一策略、报告能力。

#总结与延伸思考

CWPP 是云原生安全防护体系的重要组成部分。它弥补了主机安全和传统安全工具的不足，专门针对容器、Kubernetes、云原生架构设计。

选择 CWPP 时，需要考虑：

1. 是否真正理解 Kubernetes：不是改造的工具，而是原生设计
2. 性能开销：Agent 对生产工作负载的影响
3. 集成能力：与企业现有工具链的集成难度
4. 告警质量：误报率直接影响运营效率

#思考题

问题 1：为什么说 CWPP 不是主机安全的替代品，而是互补品？

问题 2：如何评估 CWPP 产品的告警质量？