EDR、CWPP、微隔离——这仨货到底啥关系?

访客4年前黑客工具867

我们今天探讨的问题就如标题所列,主要是关于三个炙手可热的新技术之间的关系问题。我们(蔷薇灵动)一直认为这三个技术的区分是比较直观明了的,但事实上发现还真不是这样,别说普通用户,就连圈子里面的产品经理也不是都能讲得明白,而当我们看到有的用户把大量的EDR装在云计算工作负载上,我们认为有必要写一篇技术文章做个探讨。

技术定义

在具体分析这三个技术的差别之前,我们有必要先给它们各自做个定义,以确保我们后续的讨论是基于某些明确的技术概念(这个很重要)。另外,这里还要声明,本段定义完全出于笔者的经验认知,不严谨不正规,不接受抬杠。

EDR

从EPP脱胎而来,核心能力在于深入的行为分析与系统响应。EDR中的D说的就是侦测(detection)。与过去的基于特征的签名比对技术不同,EDR一般来说是利用对系统行为的建模与数学分析来发现攻击。

CWPP

顾名思义,这是为云计算工作负载提供安全防护的产品。CWPP也可以认为是从EPP分化出来的,因为云计算工作负载或者服务器自身的计算特征以及所面临的安全威胁的类型都完全不一样,直接将终端产品拿过来用往往并不合适,所以Gartner专门定义了一个CWPP产品,大家如果有兴趣去看会发现,CWPP和EPP有一定的功能重叠,但区别还是非常大的,所以Gartner将其定义为两个不同的品类。

微隔离

对工作负载之间的访问流量进行可视化分析和访问控制的产品。微隔离可以认为是对防火墙技术的发展与颠覆,用来对数据中心 *** 进行点到点的精细化访问控制。

基本上,国外的厂商就是按照以上定义在做产品,但是国内厂商往往在产品规划与宣传的时候比较那个...自由。到今天,颇有点不会做微隔离的EDR不是好CWPP的味道。所以,我们就只能说我们讨论的是EDR、CWPP和微隔离这些技术的基本定义,而不是哪个厂商的产品。

关系与区别

01 适用范围的区别

首先我们要明确一件事情,那就是终端(endpoint)和服务器/工作负载(server/workload)是两类东西。终端就是指桌面电脑、笔记本、个人设备这一类用于访问 *** 、数据和应用的设备。而服务器/工作负载是提供服务、存储、计算的设备。这两者的区分一直非常明确。但是,在国内似乎有一种把这个区分给取消的声音,大家在把端点的概念泛化,把所有具备独立操作系统的东西都称之为端点。这种滥用给市场带来了信息上的混乱,也给用户在产品选型时带来了困扰。大家只要记住,EPP和CWPP是Gartner分别独立定义的产品就好了。从这个视角看,EDR是面向终端的产品,而CWPP和微隔离是面向服务器和工作负载的产品

02 命名方式的区别

从命名的方式上看,EDR,微隔离和CWPP的关系类似于面条,包子和快餐的关系。面条是一种食品,包子也是一种食品,但是快餐不是一种食品,它是一个品类。EDR是一种有所特指的技术,微隔离是另一种有所特指的技术,但是CWPP不是一种技术,事实上它是一堆技术的统称。正如名字所表达的那样,它是一种平台,在这个平台上可以承载很多技术。

一般来说,做快餐的都会做包子和面条,但是如果他不做,没毛病,他还可以卖盖浇饭、大盘鸡。反过来呢,我们也可以把包子和面条叫做快餐,这也没毛病。CWPP作为一个品类泛指一种能为服务器/工作负载提供防护的安全产品,而其具体的技术构成因厂商而异会有比较大的差异。一般来说,微隔离作为云计算安全的一个核心安全能力需要被CWPP厂商所支持,但是如果不支持微隔离,也不妨碍它被称作CWPP,因它还可以做其他诸如资产、漏洞、入侵侦测一类的典型CWPP能力。而与此同时呢,如果你把一个做微隔离的厂商称之为CWPP厂商,也是没毛病的。但还是必须要指出,CWPP可以承载微隔离但是不应该承载EDR,否则在定义上就矛盾了。

03 *** 论的区别

CWPP作为一个品类,它可以承载很多不同的技术类型,所以其自身反而是个中性词,没什么 *** 论倾向。而EDR和微隔离却代表着两类截然不同的安全 *** 论。我们先扔个结论,EDR是攻防对抗思想的高峰,而微隔离是零信任思想的基石

EDR的核心能力是异常行为分析,虽然相较于传统杀毒软件的基于恶意代码签名的特征匹配方式有了长足进步,但是它们的技术本质是一致的,那就是永无止境的猫鼠游戏,攻击者想尽办法去隐藏,防御者想尽办法去发现。

而微隔离的技术思路则完全颠覆了攻防对抗的思想,它是当下正当红的“零信任”安全思想的核心技术。作为一种零信任技术,微隔离不再感兴趣坏人长什么样子,相反它更关心好人长什么样子。坏人会想尽办法躲避你,而好人会竭尽努力配合你。所以,相较于发现坏人,识别好人要容易得多。所以,我们可以看到微隔离完全是基于白名单的一种技术,而EDR则需要配置黑名单。看到很多所谓的微隔离产品还在配黑名单,事实上这就很违和了,而在EDR上开启微隔离也是很有创造性...

总结

EDR、CWPP、微隔离这仨货究竟啥关系?理论上,EDR管办公网,CWPP和微隔离管数据中心。微隔离是一种 *** 安全技术,而CWPP是个筐,它可以装载微隔离也可以不装,而微隔离也可以被认为是只装有一个技术的CWPP。EDR发现坏人,微隔离放行好人

相关文章

生死狙击黑客少女技能加成(生死狙击黑客少女)

生死狙击黑客少女技能加成(生死狙击黑客少女)

本文导读目录: 1、生死狙击3280金币的英雄哪个好 2、生死狙击里哪些gp武器有变异加成 3、生死狙击魔方在充能的时候也会获得伤害加成吗? 4、生死狙击同一种英雄武器多把会加子弹和经验加...

黑客入门技术教程(从零开始学黑客技术入门教程)

黑客入门技术教程(从零开始学黑客技术入门教程)

本文目录一览: 1、怎样做一个出色的黑客 2、黑客从什么学起? 3、想成为一名的黑客 必须学习哪些课程? 4、想做黑客,基础的一些课程应该是哪些?C语言吗? 5、黑客入门 6、黑客...

欧记专业麻辣烫加盟条件有哪些?从容面对不慌张

欧记专业麻辣烫加盟条件有哪些?从容面对不慌张

餐饮行业一直都是备受创业加盟商存眷的加盟行业,那么在如此浩瀚的餐饮品牌中找到适合的加盟项目?欧记专业麻辣烫作为知名内的餐饮加盟项目供创业者参考,不得不说该品牌凭借强大的总部实力,成为餐饮行业中一个台甫...

高档儿经纪人陪你掌握北京市极品空姐商务接待儿培养【方菁】

高档小学妹经纪人陪你掌握北京市极品空姐商务接待小学妹培养【方菁】 今日给大伙儿共享的內容是“高档小学妹经纪人陪你掌握北京市极品空姐商务接待小学妹培养【方菁】”,我是方菁,来源于双桥区,2020年25岁...

国内找黑客-新黑客一q一破一解一器(新黑客一q一破一解一器软件)

国内找黑客-新黑客一q一破一解一器(新黑客一q一破一解一器软件)

国内找黑客相关问题 新黑客一q一破一解一器相关问题 尼尔9s黑客怎么锁定 不知道一个人的任何信息怎么找(想知道一个人的信息)...