雲工作負載保護平台的核心組件有：

（1）加固、配置和漏洞管理。基於部署在伺服器內部Agent，「由內而外」評估系統配置和漏洞，以可視化方式展現。

（2）網路防火牆、可視化及微隔離。支持對數據中心東西流量的「微隔離」，並提供工作負載之間的網路流量加密和保護運轉中的數據。

（3）系統信任保證。

I．在載入BIOS、Hypervisor、VM和容器系統鏡像前，通過基於物理系統硬體的信任度量來度量它們的能力，並且在掛載之前測量系統鏡像和容器的完整性。

II．在工作負載啟動後對關鍵系統文件的完整性進行實時監控。可以監視Windows註冊表、啟動文件夾、驅動程序和引導載入程序的完整性。

（4）應用控制(白名單)。白名單可對在伺服器上運行的可執行文件提供強大的安全保護策略。

（5）漏洞入侵防護和內存保護。內存自省技術可為虛擬基礎設施提供額外的安全層，防止黑客利用零日漏洞或未修復漏洞進行的攻擊。

（6）威脅檢測和響應/行為監控。側重於檢測和響應，從白名單應用程序中建立預期的行為模式，並查找行為中的偏差。

（7）基於主機的入侵防禦系統。能夠實時、準確地感知入侵事件，發現失陷主機，並提供對入侵事件的響應手段。

（8）反惡意軟體掃描。

雲工作負載保護平台（CWPP）強調了混合數據中心架構需要統一的管理、Linux系統的重點支持、殺毒軟體的無效、定價靈活性以及跟雲平台的對接和API與DevSecOps的結合等。從技術角度來看，最重要是和雲平台原生的對接，利用雲廠商提供的介面來進行相關安全措施的處理。比如說通過VPC介面可以做到相關業務的微隔離，也可以通過traffic flow log來進行流量的安全分析。

寫在最後

作為Gartner 全球雲安全市場指南常客，青藤雲安全已經連續三年進入CWPP。青藤的雲工作負載保護平台（CWPP）是基於Agent底層技術的主機解決方案，能夠很好滿足現代混合數據中心架構中伺服器工作負載的保護要求。可以幫助測評機構全面了解雲上資產、協助檢查配置漏洞管理，同時讓流量清晰可見，也可以讓監管單位對雲資產、測評過程、雲運營商等清晰可見；還能夠讓用戶對所有雲端資產、合規狀況一目了然，同時可以協助用戶對雲主機進行實時監控，了解其安全狀態。

青藤的雲工作負載保護平台（CWPP）採用自內而外的防護方法，通過先進演算法形成的眾多微小指標，持續感知客戶業務端工作負載的運行狀態，第一時間識別攻擊並迅速響應。相比傳統防禦只關注外部黑客攻擊方式的做法，青藤這種自適應安全防護能更快、更准地檢測並響應未知威脅。此外，青藤的雲工作負載保護平台（CWPP）支持本地、物理和虛擬機(VM)、公有雲、私有雲等環境，支持基於容器的應用程序架構。