实用的信息安全技术

今天，笔者将与大家分享六种信息安全技术。

一、&nbsp云工作负载保护平台（Cloud Workload Protection Platform，简称CWPP）

现代数据中心支持运行在物理设备、虚拟机（VM）、容器以及私有云基础架构中的各种工作负载，并且几乎总是涉及一些在一个或多个公有云基础设施即服务（IaaS）提供商中运行的工作负载。

云工作负载保护平台（CWPP）市场定义为基于主机的解决方案，主要满足现代混合数据中心架构中，服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式，通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载，而不用考虑工作负载运行的位置。

二、管理检测和响应（MDR）

管理检测和响应（MDR）提供商为寻求改进其威胁检测、事件响应和持续监控功能的买家提供服务，这些买家自身通常不具备专业的技能或资源。由于缺乏对威胁检测能力方面的投资，中小企业（SMB）和小型企业的需求特别强烈，因为MDR服务正好触及了这些企业的“sweet spot”。

三、微分段（Microsegmentation）

一旦攻击在企业系统中站稳脚跟，他们通常会横向移动到其他系统中。微分段是在虚拟数据中心内为实现安全目的进行隔离和分段的过程。就像潜艇中的舱室一样，微分段有助于在威胁发生时限制破坏。之前，微分段技术主要用于描述服务器之间在相同层／区域内的东西／横向通信，但是现在它已经演变为主要用于虚拟数据中心内的通信。

四、软件定义边界（Software-defined perimeters，简称SDP）

到2017年底，至少10%的企业组织将利用软件定义边界SDP技术来隔离敏感的环境，这项技术在安全保障用户的访问同时，也可以改善便利性，而使用一个固定的边界来保护企业内部网站正在逐渐过时。

软件定义边界（Software Defined Perimeter，SDP）由云安全联盟（CSA）于2013年提出，用应用所有者可控的逻辑组件取代了物理设备，只有在设备证实和身份认证之后，SDP才提供对于应用基础设施的访问。

SDP使得应用所有者部署的边界可以保持传统模型中对于外部用户的不可见性和不可访问性，该边界可以部署在任意的位置，如网络上、云中、托管中心中、私有企业网络上，或者同时部署在这些位置中。

五、面向DevSecOps的OSS安全扫描和软件组成分析技术（OSS security scanning software composition analysis forDevSecOps）

信息安全架构师必须能够将安全控制自动融入到整个DevSecOps周期中，而不需要进行手动配置，在这过程中要尽可能对DevOps团队是透明的，且不会阻碍DevOps的敏捷性，但是又要“满足”法律和法规合规性以及管理风险要求。为了实现这一目标，安全控制必须能够在DevOps工具链中实现自动化。软件组合分析（SCA）工具专门分析开发人员用于识别和清点OSS组件的源代码、模块、框架和库，并在应用程序[发布]到生产环境之前，识别任何已知的安全漏洞或是许可问题。

六. 容器安全（Containersecurity）

容器使用共享的操作系统模式。对主机操作系统的漏洞攻击可能导致所有容器都受到破坏。容器并非天生不安全，但是它们就是由开发者以不安全的方式进行部署的，很少或完全没有安全团队参与，也很少有安全架构师进行指导。传统的网络和基于主机的安全解决方案对容器是无视的。容器安全解决方案保护容器的整个生命周期，大多数容器安全解决方案都提供了预生产扫描和运行时间监控和保护功能。