0x00、工作负载漏洞管理需求

在中大型政府或者企业安全治理过程当中，无法回避的一个问题就是承载业务系统的工作负载漏洞管理，无论是在平台建设初期，上级监管部门对平台等保合规的监管要求;还是护网重保期间或者日常安全运营的期间，防范来至犯罪集团APT攻击。都需要针对工作负载做行之有效的漏洞运营管理。但是，在我接触到的用户中，安全运营团队能充分利用安全产品，达到预期的效果用户的不多。从工作负载漏洞管理价值角度思考，

一、安全防范效能提升工具

在CSO眼中，工作负载管理系统是安全防范效能提升工具，通过产品提供的能力，降低安全人员的时间投入，当您作为安全运营人员，负责上千台或者上万台服务器的漏洞管理工作，你需要的是：

1、全网工作负载快速漏洞检测

当你新到一家公司，无任何商业化的漏洞管理工具，这种情况，你只能在单机上通过传统的脚本统计漏洞信息，然后汇总到一起，使用excel输出漏洞报表。这种方法工时至少1人周。对于安全运营的投入ROI太低。

2、批量自动修复

检测出来漏洞列表后，就需要修复，如果通过脚本修复，需要把修复不成功的原因上传到服务端，同时，对修复过程中出现的各种各样的问题，要及时处理。例如：物理机内核补丁修复，云主机内核漏洞修复失败，容器内置组件。

二、工作负载漏洞运营另外一个价值点在于提升安全防范能力。

1、当有最新漏洞出现的时候，需要及时修复，防止公网和内网的0day入侵。

2、在护网/重保期间，由于业务系统组件迭代频繁，导致很多新上的组件引入了新的漏洞，需要防止公网和内网的0day入侵。例如：主机上应用于本地提权的漏洞，web组件入侵常用的fastjson。

3、如果是政务云系统，那需要过合规这关，需要导出累积修复漏洞列表。

三、目标对象

目前，在公有云、私有云、混合云中，主要分两部分，一是租户侧工作负载的漏洞管理，涉及到的对象，有虚拟主机、原生容器&K8s、用户自建容器&K8s。虚拟主机是目前主流的工作负载，还有一些创新企业，为了，进一步提升资源利用率，开始尝试容器平台取代虚拟化平台。所以自建容器&k8s需要支持。对于安全级别要求比较高的企业，容器平台使用的原生容器(有精简的操作系统做隔离)，这种场景也需要支持。对于平台侧安全，其实就是物理机、容器平台。