在萬物皆可連網的世代中，保護雲端原生環境的安全是一項艱鉅任務，因為有太多環節需要考量，牽一髮而動全身。除了員工的設備，現在還要關注每個身份、設定，以及各個雲端服務供應商的細微差異，更別說還有在雲端服務中運行的所有工作負載。雲端伺服器上運行著軟體，而軟體往往都存在著漏洞，這些漏洞需要被追蹤、修補和管理。

這確實是不容小覷的挑戰。

雖然這些工作看似用一個工具就能解決，但實際上需要兩種工具：一種負責了解您的雲端工作負載；另一種負責掌握您的雲端服務供應商。這兩種工具通常被稱為雲端工作負載保護平台（CWPP）和雲端安全狀態管理（CSPM）。但它們究竟是什麼？又該如何使用其中一種（或兩種）來提升您的安全態勢？

什麼是雲端工作負載保護平台（CWPP）？

雲端工作負載保護平台（Cloud Workload Protection Platform，CWPP）是一種專注於保護虛擬機、容器以及無伺服器功能等雲端工作負載的資安工具。通常以代理程式（Agent）的形式安裝在底層端點上，CWPP 主要關注的是雲端上運行的內容，而非供應商本身。

由於未修補的軟體漏洞對全球資安帶來了嚴重威脅，因此使用 CWPP 工具是確保您的組織能夠修補當前及舊版軟體應用程式中常見漏洞的好方法。除了保護運算資源外，CWPP 還能保護工作負載中使用的底層資料，像是可識別的個人資訊、支付憑證，甚至是不該出現的加密金鑰。

什麼是雲端安全狀態管理（CSPM）？

雲端安全狀態管理（Cloud Security Posture Management，CSPM）則專注於雲端供應商本身的安全。就像操作系統因設定錯誤或存取控制不佳而變得脆弱，您的雲端服務供應商也可能出現同樣的問題。

正確的設定和身份管理對於保護您的雲端基礎架構至關重要，這兩種層面的錯誤可能導致未經授權的存取、資料外洩和其他資安事件，進而增加雲端環境的攻擊面。

藉由 CSPM 工具，企業可以確保其雲端基礎架構遵循最佳實踐設定、降低網路安全事件的風險，並保持合規性。總而言之，正確的設定和身份管理是全面雲端安全策略中的關鍵要素，投資 CSPM 工具有助於企業應對不斷演變的威脅，保護其關鍵資料與資產。

結合 CWPP 和 CSPM 以獲得全面保護

在安全層面上，如果不使用安全系統，就像只把門關上一樣，沒有任何防護意義。對駭客而言，只要一個漏洞就能突破防線，這就是為什麼您必須保護組織的每個面向。CWPP 非常適合保護雲端工作負載，但如果沒有 CSPM 的額外保護，所有的安全保護充其量只是效能提升而已。

雖然 CWPP 和 CSPM 這兩套工具對於建立健全的安全狀態非常有用，但值得注意的是，如果個別使用它們，可能會導致重複或無關的告警。要導入完善的 CWPP + CSPM 方案，需要確保工具能相互通訊，以基於上下文（context-based）進行告警，並全面了解組織端到端的安全態勢。

選擇適合的雲端安全平台

為您的組織選擇適合的資安工具至關重要，但確保它們彼此能夠相互整合也同等重要。不同的雲端安全平台可能因為無法互相通訊而使您的安全態勢產生漏洞，導致威脅被忽略、漏洞未被處理以及安全防護不完整。

為避免這些問題，選擇可以無縫整合、協同作業的雲端安全工具至關重要。您可以透過整合完善的安全平台，或是審慎挑選用於協同作業的工具來達成這個目標。相互整合可確保安全平台間能夠相互通訊和共享威脅情資，降低忽略威脅的風險，同時提高整體安全覆蓋範圍。

總而言之，完備的資安計畫是保護組織因應日新月異威脅的根本，這不單只是導入幾個工具，更需要對威脅情勢有通盤評估，以及對所選工具的部署有充分研究。

參考來源：Orca Security、The New Stack