我们今天探讨的问题就如标题所列,主要是关于三个炙手可热的新技术之间的关系问题。我们(蔷薇灵动)一直认为这三个技术的区分是比较直观明了的,但事实上发现还真不是这样,别说普通用户,就连圈子里面的产品经理也不是都能讲得明白,而当我们看到有的用户把大量的EDR装在云计算工作负载上,我们认为有必要写一篇技术文章做个探讨。
技术定义
在具体分析这三个技术的差别之前,我们有必要先给它们各自做个定义,以确保我们后续的讨论是基于某些明确的技术概念(这个很重要)。另外,这里还要声明,本段定义完全出于笔者的经验认知,不严谨不正规,不接受抬杠。
EDR
从EPP脱胎而来,核心能力在于深入的行为分析与系统响应。EDR中的D说的就是侦测(detection)。与过去的基于特征的签名比对技术不同,EDR一般来说是利用对系统行为的建模与数学分析来发现攻击。
CWPP
顾名思义,这是为云计算工作负载提供安全防护的产品。CWPP也可以认为是从EPP分化出来的,因为云计算工作负载或者服务器自身的计算特征以及所面临的安全威胁的类型都完全不一样,直接将终端产品拿过来用往往并不合适,所以Gartner专门定义了一个CWPP产品,大家如果有兴趣去看会发现,CWPP和EPP有一定的功能重叠,但区别还是非常大的,所以Gartner将其定义为两个不同的品类。
微隔离
对工作负载之间的访问流量进行可视化分析和访问控制的产品。微隔离可以认为是对防火墙技术的发展与颠覆,用来对数据中心网络进行点到点的精细化访问控制。