云安全这个赛道,2026 年最大的变化不是谁又融了一轮,而是 CNAPP 这个品类终于从 PPT 概念变成了真实采购决策。
你的安全团队大概率正在面对一个问题:告警太多,上下文太少,工具太散。CSPM 一个、CWPP 一个、CIEM 又一个,每个都有 dashboard,但没有一个能告诉你”这条告警到底要不要管”。
CNAPP 就是来解决这个问题的。把云配置、工作负载、身份权限、容器安全拢到一个平台里,用一张图告诉你风险在哪、攻击路径是什么。
但问题来了:Wiz、Orca、Lacework、Prisma Cloud 都说自己是 CNAPP,都说自己能一站式搞定。到底选谁?
这篇不做功能清单罗列。我们按安全团队真正关心的五个维度来比:部署方式、告警质量、运行时能力、多云覆盖、定价模型。
—
先说结论
- Wiz:部署最快、可视化最强,适合中大型多云团队快速拿到全局视野。但价格不便宜,运行时检测是后来补的,不是原生强项。
- Orca:SideScanning 技术路线和 Wiz 最像,无 agent 零侵入。适合对性能影响极度敏感的团队。但同样缺运行时,价格也是企业级。
- Lacework:Polygraph 行为分析是差异化亮点,运行时异常检测比前两家强。但 UI 和工程体验偏粗糙,漏洞管理功能不够成熟。
- Prisma Cloud:功能最全,从代码扫描到运行时保护全覆盖。但部署复杂、学习曲线陡,定价是信用点模型,预算很难预测。适合已经是 Palo Alto 生态的大企业。
—
比较维度一:部署方式
这是很多团队第一个关心的问题——接进来要多久,要不要装 agent。
Wiz 走 API 扫描路线,连接云账户后几分钟就能出第一批结果。不需要在工作负载上装任何东西。2025 年底推出了可选的 Wiz Sensor 做运行时,但核心卖点还是无 agent。
Orca 的 SideScanning 也是无 agent,但技术路线不同——它读取云厂商的磁盘快照来做深度扫描。好处是零性能影响,坏处是扫描结果有延迟,不是实时的。
Lacework 需要装轻量 agent。这是它能做运行时行为分析的前提,但也意味着部署周期更长,运维负担更重。
Prisma Cloud 两种都有:无 agent 的 CSPM 扫描 + agent-based 的 CWPP 运行时保护。功能最全,但部署最复杂,通常需要专人维护。
判断:如果你要的是”今天接、明天看结果”,Wiz 和 Orca 最快。如果你需要运行时能力且愿意付出部署成本,Lacework 和 Prisma Cloud 更合适。
—
比较维度二:告警质量与攻击路径
安全团队最怕的不是没告警,是告警太多、全是噪音。
Wiz 的 Security Graph 是它最被认可的能力。它把漏洞、配置错误、网络暴露、身份权限串成一张图,自动算出攻击路径。你看到的不是”这个 S3 bucket 公开了”,而是”这个公开的 S3 bucket 连着一个有高危 CVE 的 EC2,而且这个 EC2 有 admin 权限”。这种上下文关联能力,目前 Wiz 做得最好。
Orca 也有类似的攻击路径可视化,但社区反馈普遍认为在风险优先级排序和路径可视化上不如 Wiz 直观。
Lacework 的 Polygraph 走的是另一条路——它不是静态扫描,而是用机器学习建立行为基线,然后检测偏离。这意味着它能发现”这个服务账号突然开始访问从没碰过的资源”这类异常。但在静态漏洞优先级排序上,它不如 Wiz 和 Orca。
Prisma Cloud 功能都有,但告警量大、噪音多是用户反复提到的问题。需要花时间调规则才能用起来。
判断:要攻击路径可视化,Wiz 第一。要行为异常检测,Lacework 有独特价值。Orca 居中。Prisma Cloud 功能全但需要调教。
—
比较维度三:运行时保护
这是四家差异最大的地方。
Wiz 的运行时能力是 2025 年才通过 Wiz Sensor 补上的,不是它的原生强项。能做基本的运行时威胁检测,但深度和成熟度还在追赶。
Orca 目前没有真正的运行时保护。SideScanning 是快照扫描,本质上是”定期体检”而不是”实时监控”。如果你需要在容器里抓实时恶意行为,Orca 做不到。
Lacework 的 agent 能做运行时行为分析,这是它的核心差异化。Polygraph 能检测进程异常、网络异常、文件系统异常。对于需要 CWPP 能力的团队,这是真实价值。
Prisma Cloud 的运行时保护最成熟,支持容器、Serverless、主机的实时防护和取证。如果你的合规要求需要运行时 enforcement,Prisma Cloud 是四家里唯一能做到的。
判断:运行时是硬需求的话,Prisma Cloud > Lacework > Wiz > Orca。如果你只需要姿态管理和漏洞扫描,运行时不是必选项。
—
比较维度四:多云与容器支持
Wiz:AWS、Azure、GCP、OCI、阿里云都支持,Kubernetes 支持也不错。多云覆盖最广。
Orca:AWS、Azure、GCP,加上阿里云。覆盖面和 Wiz 接近,但 OCI 支持弱一些。
Lacework:AWS、Azure、GCP。没有国内云支持。Kubernetes 支持有,但不如前两家深。
Prisma Cloud:多云支持最全,包括 AWS、Azure、GCP、OCI、阿里云。容器和 Kubernetes 安全也是最深的,毕竟收购了 Twistlock。
判断:纯多云覆盖,Prisma Cloud 和 Wiz 并列第一。容器深度,Prisma Cloud 领先。如果你只用 AWS + Azure,四家都够用。
—
比较维度五:定价
这是最影响决策的维度,也是最不透明的。
Wiz:按工作负载数量定价,Essential Plan 大约 $24,000/年(100 个工作负载),大型部署通常 $100K-$300K+/年。不便宜,但定价模型相对清晰。
Orca:企业定价,起步大约 $70K+/年。和 Wiz 一个量级,但谈判空间可能更大。
Lacework:起步 $5,000/年,有免费试用。在四家里门槛最低,适合中小团队先试水。
Prisma Cloud:信用点(credit)模型,每个安全能力模块单独消耗信用点。理论上灵活,实际上很难预测年度支出。大型部署通常 $80K+/年,而且容易超预算。
判断:预算有限选 Lacework 先上。预算充足且要快速见效选 Wiz。已经是 Palo Alto 客户选 Prisma Cloud 能拿到更好的价格。Orca 适合和 Wiz 一起拿来做 POC 比价。
—
谁适合谁
| 场景 | 推荐 |
|---|---|
| 中大型多云团队,要快速拿到全局风险视图 | Wiz |
| 对工作负载零侵入有硬要求,不想装任何 agent | Orca |
| 需要运行时行为检测,预算不是顶配 | Lacework |
| 已经是 Palo Alto 生态,需要从代码到运行时全覆盖 | Prisma Cloud |
| 安全团队 3 人以下,先要一个能用的起点 | Lacework(门槛最低) |
| 合规要求运行时 enforcement + 取证 | Prisma Cloud |
—
一句话总结
Wiz 赢在速度和可视化,Orca 赢在零侵入,Lacework 赢在行为分析的性价比,Prisma Cloud 赢在功能全覆盖但你得有人养它。
没有”最好的 CNAPP”,只有最匹配你团队规模、预算和合规要求的那个。
先想清楚你是要”看得见”还是”管得住”——前者选 Wiz 或 Orca,后者选 Lacework 或 Prisma Cloud。
