我们今天探讨的问题就如标题所列,主要是关于三个炙手可热的新技术之间的关系问题。我们(蔷薇灵动)一直认为这三个技术的区分是比较直观明了的,但事实上发现还真不是这样,别说普通用户,就连圈子里面的产品经理也不是都能讲得明白,而当我们看到有的用户把大量的EDR装在云计算工作负载上,我们认为有必要写一篇技术文章做个探讨。
技术定义
在具体分析这三个技术的差别之前,我们有必要先给它们各自做个定义,以确保我们后续的讨论是基于某些明确的技术概念(这个很重要)。另外,这里还要声明,本段定义完全出于笔者的经验认知,不严谨不正规,不接受抬杠。
EDR
从EPP脱胎而来,核心能力在于深入的行为分析与系统响应。EDR中的D说的就是侦测(detection)。与过去的基于特征的签名比对技术不同,EDR一般来说是利用对系统行为的建模与数学分析来发现攻击。
CWPP
顾名思义,这是为云计算工作负载提供安全防护的产品。CWPP也可以认为是从EPP分化出来的,因为云计算工作负载或者服务器自身的计算特征以及所面临的安全威胁的类型都完全不一样,直接将终端产品拿过来用往往并不合适,所以Gartner专门定义了一个CWPP产品,大家如果有兴趣去看会发现,CWPP和EPP有一定的功能重叠,但区别还是非常大的,所以Gartner将其定义为两个不同的品类。
微隔离
对工作负载之间的访问流量进行可视化分析和访问控制的产品。微隔离可以认为是对防火墙技术的发展与颠覆,用来对数据中心网络进行点到点的精细化访问控制。
基本上,国外的厂商就是按照以上定义在做产品,但是国内厂商往往在产品规划与宣传的时候比较那个...自由。到今天,颇有点不会做微隔离的EDR不是好CWPP的味道。所以,我们就只能说我们讨论的是EDR、CWPP和微隔离这些技术的基本定义,而不是哪个厂商的产品。
关系与区别
01 适用范围的区别
首先我们要明确一件事情,那就是终端(endpoint)和服务器/工作负载(server/workload)是两类东西。终端就是指桌面电脑、笔记本、个人设备这一类用于访问网络、数据和应用的设备。而服务器/工作负载是提供服务、存储、计算的设备。这两者的区分一直非常明确。但是,在国内似乎有一种把这个区分给取消的声音,大家在把端点的概念泛化,把所有具备独立操作系统的东西都称之为端点。这种滥用给市场带来了信息上的混乱,也给用户在产品选型时带来了困扰。大家只要记住,EPP和CWPP是Gartner分别独立定义的产品就好了。从这个视角看,EDR是面向终端的产品,而CWPP和微隔离是面向服务器和工作负载的产品。
02 命名方式的区别
从命名的方式上看,EDR,微隔离和CWPP的关系类似于面条,包子和快餐的关系。面条是一种食品,包子也是一种食品,但是快餐不是一种食品,它是一个品类。EDR是一种有所特指的技术,微隔离是另一种有所特指的技术,但是CWPP不是一种技术,事实上它是一堆技术的统称。正如名字所表达的那样,它是一种平台,在这个平台上可以承载很多技术。
一般来说,做快餐的都会做包子和面条,但是如果他不做,没毛病,他还可以卖盖浇饭、大盘鸡。反过来呢,我们也可以把包子和面条叫做快餐,这也没毛病。CWPP作为一个品类泛指一种能为服务器/工作负载提供防护的安全产品,而其具体的技术构成因厂商而异会有比较大的差异。一般来说,微隔离作为云计算安全的一个核心安全能力需要被CWPP厂商所支持,但是如果不支持微隔离,也不妨碍它被称作CWPP,因它还可以做其他诸如资产、漏洞、入侵侦测一类的典型CWPP能力。而与此同时呢,如果你把一个做微隔离的厂商称之为CWPP厂商,也是没毛病的。但还是必须要指出,CWPP可以承载微隔离但是不应该承载EDR,否则在定义上就矛盾了。
03 方法论的区别
CWPP作为一个品类,它可以承载很多不同的技术类型,所以其自身反而是个中性词,没什么方法论倾向。而EDR和微隔离却代表着两类截然不同的安全方法论。我们先扔个结论,EDR是攻防对抗思想的高峰,而微隔离是零信任思想的基石。
EDR的核心能力是异常行为分析,虽然相较于传统杀毒软件的基于恶意代码签名的特征匹配方式有了长足进步,但是它们的技术本质是一致的,那就是永无止境的猫鼠游戏,攻击者想尽办法去隐藏,防御者想尽办法去发现。
而微隔离的技术思路则完全颠覆了攻防对抗的思想,它是当下正当红的“零信任”安全思想的核心技术。作为一种零信任技术,微隔离不再感兴趣坏人长什么样子,相反它更关心好人长什么样子。坏人会想尽办法躲避你,而好人会竭尽努力配合你。所以,相较于发现坏人,识别好人要容易得多。所以,我们可以看到微隔离完全是基于白名单的一种技术,而EDR则需要配置黑名单。看到很多所谓的微隔离产品还在配黑名单,事实上这就很违和了,而在EDR上开启微隔离也是很有创造性...
总结
EDR、CWPP、微隔离这仨货究竟啥关系?理论上,EDR管办公网,CWPP和微隔离管数据中心。微隔离是一种网络安全技术,而CWPP是个筐,它可以装载微隔离也可以不装,而微隔离也可以被认为是只装有一个技术的CWPP。EDR发现坏人,微隔离放行好人。