前半个月的行动中，整个圈子都在疯传的“内网King”到底是个啥？

“前几天的行动中，我看整个安全圈都在传你们的主机安全是内网防护King，我想问一下，他们说的主机安全到底是个什么东西？”攻防演练刚结束，笔者就在后台接到了这么一条灵魂拷问。

看到这条留言后，笔者特意去翻了各大社群的聊天记录，不仅有蓝队的花式表白↓↓↓

还有红队“呕心沥血”的吐槽。

Emmmm……

虽然红、蓝双方在“主机安全”这个问题上已然撕得不可开交，但对于非网络行业的人员来说，它却还是一个让人觉得似懂非懂的名词。为了帮助大家更好地理解“主机安全”这一概念，笔者特意通过本文做出详细的解读。

目前我国网络安全领域正处于高速发展的阶段，其细分领域已经非常标准化，包含网络侧安全、主机安全、Web安全、物联网安全、工业互联网安全等多个方向。

图1 网络安全的方向及主要技术

其中，主机是云计算、Web端、移动端、物联网等设备发挥作用的“基础设施”，因此，保障主机安全也是整个网络安全体系建设的核心。

什么是主机安全？

在了解什么主机安全之前，我们需要先明确主机、服务器、终端几个位置概念：

主机VS服务器。主机是一个统称，所有服务器（包括虚拟机）都是主机，但并非所有主机都是服务器，也就是服务器⫋主机。主机和服务器的主要差别在于，主机是连接到网络的计算机或其他设备，而服务器是提供服务的软件或硬件设备，日常所说的服务器一般是指提供服务的主机。由此可见，主机安全并不是一个产品，而是对应一个需要被保护的位置，主机安全即主机侧的安全保护。

终端VS服务器。终端和服务器是两类东西。这里的终端指桌面电脑、笔记本、个人设备等用于访问网络、数据和应用的设备，而服务器则是提供服务、存储、计算的设备。当然，某种程度上来说，广义上的终端概念也可以包括服务器，但常规意义的终端不包括服务器。

我们通常所说的“主机安全”实际上指的是“服务器安全”。主机位于企业组织IT基础架构的核心，它承载着企业最有价值、最敏感的信息，因此经常被网络犯罪分子视为攻击的头号目标，不安全的主机是重大的业务风险，并可能导致许多网络安全问题。主机安全的目的就在于保护主机上保存的数据和资源。它包含有助于防止入侵、黑客攻击和其他恶意行为的工具和技术。

扫码可下载完整版

《主机安全能力建设等级自查Checklist》

图2 主机安全能力建设等级自查Checklist部分截图

如何实现主机安全？

为了获得最大程度的保护，用户需要解决网络、服务器操作系统以及服务器上托管的任何应用程序或软件中的潜在问题。

实现主机安全的措施各不相同，通常分层实施。它们涵盖：

1. 基础操作系统——专注于关键组件和服务的安全性；
2. 托管应用程序——控制托管在服务器上的内容和服务；

为了最大限度地保护主机，用户应该从操作系统、运行的软件等不同角度完成主机安全加固的过程。简单来说，就是应用基本和高级安全措施的组合来减少主机软件和操作系统中的漏洞，从而提高整体主机的安全性。

常用的方法包括：

1. 使用强密码
2. 确保通信数据加密
3. 完成定期系统备份
4. 保持操作系统处于最新版本
5. 删除不必要的第三方软件
6. 安装防火墙和防病毒软件

基于这几个维度，网络安全厂商陆续开发了多款主机安全产品。

最早出现的用于保护主机安全的产品是杀毒软件，早期是对已知恶意代码的检测与查杀，在市场需求的驱动下，逐步进化出主机WAF、EPP等多种形态。在主机安全技术成熟后，产品功能进一步整合，演化出偏向威胁检测与响应的EDR(主机上采集、云上分析)以及能对工作负载提供完整防护的CWPP。但目前为止，除了CWPP是原生的主机安全产品，能够全流程保障主机安全以外，其他的产品在解决主机端的安全上都存在各种各样的问题。

图3 不同产品在主机安全防护上的缺点

此外，EDR与CWPP也作为目前主机安全的两个重点方向，成为SOC、SIEM、SOAR、XDR、威胁狩猎等平台在服务器端的采集探针。

但就国内现在的EDR产品而言，绝大部分都没有达到预期的效果。很多EDR产品都是在终端防护的基础上修修补补，然后直接用到主机侧，这相当于把汽车的发动机装到飞机上，虽然没啥问题，但也没啥作用。因此，CWPP是所有安全产品中实现主机安全的最佳品类。

 

什么是云工作负载保护平台 (CWPP)？

CWPP，全称是Cloud Workload Protection Platform，直译过来就是“云工作负载安全防护平台”，这个产品品类是Gartner提出的。简单点说，就是用来保护云上工作负载的安全全家桶。而所谓工作负载，就是承载计算的各种类型节点（物理机、虚拟机、容器、无服务器）。

举个例子，假如把银行存放现金的仓库看作是主机，那么仓库里一个个存放现金的保险箱就相当于“工作负载”，CWPP则是针对这些工作负载（保险箱）的一系列保护方案，比如安保人员、密码锁、监控系统等等。

随着云计算的发展和普及，CWPP着重强调的是云环境下的工作负载，实际上它也支持物理环境下的工作负载安全防护，比如物理服务器。

与其他安全产品相比，CWPP除了具有主机安全基因以外，还有以下八点优势：

1. 可见性：CWP提供更快、更准确的检测、响应、威胁搜索和调查，对工作负载和容器事件具有完全的可见性，以确保用户的云环境中的一切都是可见的。
2. 监控工作负载行为：监控工作负载行为是云工作负载保护的一个组成部分。CWPP可以在任何地方检测到入侵，并通过监控工作负载行为来发送警报。
3. 一般保护：CWPP保护用户的整个云基础架构，涵盖任何云中的所有工作负载、容器和 Kubernetes应用程序。CWPP可进行自动化安全检测并阻止可疑活动。
4. 统一的日志管理和监控：当工作负载的每个部分都有不同的安全技术时，监控它们可能需要时间。CWPP提供了在任何环境中工作负载的每个部分发生的情况的单一窗口。
5. 系统加固和漏洞管理：CWPP会删除可能带来安全风险的不必要的应用程序、权限、程序、账户、功能、代码。可以通过识别来帮助用户消除潜在的攻击媒介。
6. 最新的威胁情报：一些CWPP将威胁情报分发给他们的客户群，作为新威胁的早期预警系统。
7. 灵活性：云计算最显著的好处之一是按需扩展和缩减资源。CWPP基于云，使组织能够实现相同的应用程序和工作负载安全灵活性。
8. 合规性：数据保护法规要求组织实施特定的安全控制，以充分保护他们持有的敏感数据。CWPP解决方案将自动扫描使受保护数据面临风险的漏洞和合规违规行为，并应用安全控制来确保合规。

此外，作为基于云的整体技术基础架构战略的一部分，CWPP还能为公司节省成本，以及提供无缝可扩展性。这对于安全预算有限且需要灵活技术基础架构的公司来说至关重要。通过CWPP提供的分析和报告，安全人员可以根据需求优化和扩展平台，帮助用户在保持关键数据安全的同时还能享受卓越的安全性能。

CWPP的最佳落地实践

CWPP的概念虽然早在2017年就被提出来，但直到现在，真正落地这一理念的厂商并不多。青藤万相·主机自适应安全平台是国内第一家落地自适应安全架构的主机安全产品，历经7年多的发展，在主机侧沉淀了大量技术和场景经验，并基于600多万Agent为客户提供资产清点、风险发现、入侵检测、合规基线、病毒查杀、微隔离等多种安全服务。

在主机安全防护方面，青藤万相具有以下优势：

1. 轻Agent部署。不装驱动、不动内核，稳定性高达99.9999%，正常的系统负载情况下，CPU占用率<1%，内存占用<40M，在系统负载过高时，Agent会主动降级运行，不影响正常业务。
2. 更全面的资产清点。从主机层、系统层、应用层、Web层几个不同角度清点硬件配置、进程、端口、账号、中间件、数据库、Web 应用、Web 框架、Web 站点等，提供 10 余类主机关键资产清点，800 余类业务应⽤⾃动识别，让保护对象清晰可⻅。
3. 高效的漏洞扫描。通过Agent收集主机信息，对主机的情况了如指掌，与自有的50000+漏洞库比对，可以快速找出漏洞，不论主机数量多少，都可以在5分钟内完成扫描。
4. 减少误报告警量。青藤万相只对成功的入侵行为发出告警，既把安全人员从大量无意义的告警中解脱出来，还能保证他们所接到的每条告警都是有价值的。
5. 定制化合规基线。根据服务器的操作系统、软件应用等信息，自动筛选出该服务器上需要检查的基线，并支持一键批量创建基线任务。拥有1500+的基线配置检查系统Checklist知识库，还可根据不同行业相关基线规范，对知识库实现定制管理，匹配各行业安全配置需求。
6. 东西向流量管控。青藤万相的微隔离功能模块以拓扑图清晰直观地展示主机间的业务流量，让用户集中统一配置网络策略，阻断异常的横向访问行为，能够让东西向流量安全防护真正落地。
7. 注重安全左移。关注安全事件的事前和事中及时发现，将风险消灭在萌芽过程中，同时针对事后具备全方位的事件采集功能，方便进行溯源处置追责。

青藤万相作为主机安全领域的代表性产品，凭借领先的技术和理念优势连续6年入选Gartner CWPP市场指南，位列Frost&Sullivan云主机安全市场领袖梯队，并在赛迪云主机安全报告中市场占有率第一，为金融、政府、运营商、互联网、国央企等20+行业的1000+头部客户提供了主机防护。如果你对这个领域有任何疑问或有主机安全防护需求，可以拨打400-188-9287咨询青藤安全专家并申请万相免费试用~