云安全专题报告：网络安全的未来在云端(7)

IT 系统最初的工作负载形式就是物理服务器。随着 IDC 走向虚拟化，工作负载 演进为虚拟机形式。云服务中容器成为工作负载的主流，而正在出现和发展的工作 负载新形式 Serverless，直接对应用 run-time 虚拟化，改变了传统意义上的服务进程 监听-运行模式，是更加精细粒度的瞬态工作负载。随着云计算和云原生需求的发展， 云工作负载的形式越来越抽象灵活，同时其部署和运行的生命周期也可越来越短。 多种形式和生命周期的云工作负载会长期共存，目前并没出现彼此淘汰的情况，同 时这些演进和共存，也使得抽象化定义很有必要。
CWPP 对云上的工作负载，提供多个维度、全方位的保护能力。Gartner 把这种 能力分成了 8 大类别（从上到下，重要程度逐层递增），包括：反恶意软件扫描；具 有漏洞屏蔽功能的 HIPS；服务器工作负载 EDR 行为监测与威胁检测/响应；漏洞利 用预防/内存保护；应用控制/白名单；系统信任保证；网络防火墙、可视性及微隔离； 受限的物理及逻辑访问边界。
安全服务访问边缘（SASE）
根据 Gartner 的定义，SASE 是一种基于实体的特性、实时环境、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的标识可与人员、人员 组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。SASE 汇 聚网络(例如，SD-WAN)和网络安全服务(例如 SWG、CASB 和 FWaaS)的功能，主要 以云服务的方式进行交付。

根据 Gartner 的定义，SASE 有四个主要特征：
（1）身份驱动
不仅仅是 IP 地址，用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法，公司企业为用户开发一套网络和安全策略，无需考虑设备或地理位置，从而降低运营开销。