雲端資安會面臨什麼風險?雲原生服務又應該注意哪些細節? (內有影片)

目前企業上雲、採取多雲策略與現代化應用服務,將成為主流發展模式,企業不僅需要因應新形態網路攻擊模式來改變升級資安措施,並且針對上雲各個階段強化防護。
評論
Photo Credit:趨勢科技 Trend Micro
評論

無論是公有雲、私有雲或混合雲,只要是以雲端原生運算打造的應用服務,都應要更更重視資安風險,避免威脅也跟著上雲,而趨勢科技又是如何協助企業做好防護? 本篇將以趨勢科技 LetsTalk Online 兩集影片的內容為大家進行詳細介紹,若想直接看影片請點擊以下的影片連結──雲端工作負載和容器安全實作,以及雲端資安風險與 Cloud Native Security 4C 模型的概念與實作

從早期企業自行建雲,到後來藉由公有雲服務更快銜接雲端運作模式,企業藉此加速數位化轉型腳步,到目前更因應不同服務應用模式,以及資料使用方式等要求,使得結合公有雲、私有雲,甚至兩種以上雲端平台使用的混合雲架構變得更加普及。

企業應用服務也逐漸轉向容器化設計發展,近年來更有許多企業、開發者開始擁抱開源架構設計的 Kubernetes(K8s)容器技術(備註:參考影片),更快部署雲端服務,將服務搬上雲端難度門檻變得更低,因此也吸引更多企業願意讓服務上雲。

由於將服務佈署在雲端的企業比例越來越高,傳統針對地端伺服器的攻擊模式逐漸地在改變,目前駭客攻擊模式也逐漸鎖定上雲服務,其中包含攔截網路封包,或是直接鎖定容器化的雲端服務。

同時,越來越多網路攻擊型態持續在改變,企業在上雲之際,往往忽略資安防護也必須跟著升級。另一方面,隨著多雲架構趨勢發展,企業雲端服務架構落差變得更大,讓容器化服務佈署管理變得更加紛雜,因此相對更容易讓服務出現安全漏洞,在企業資安人員難以察覺的情況下,可能就會面臨外部攻擊。

Photo Credit:趨勢科技 Trend Micro

目前企業上雲所面臨的「4C」難題,分別包含 Cloud(雲端)、Cluster(運算叢集)、容器(Container)、Code(編碼),在這四個面向各自會面臨不同資安問題,也會相互產生不同影響,即「4C」各個環節的資安問題未能妥善處理,就會讓整個服務產生更難以收拾的局面。 (備註:參考影片

趨勢科技針對「4C」難題提出 Cloud One 解決方案,標榜針對目前企業主要使用的  AWS、微軟 Azure、Google Cloud、VMware 雲端化服務,以及包含 Docker、Kubernetes 容器化服務應用環境最佳化。

Photo Credit:趨勢科技 Trend Micro

善用 Cloud One,完整涵蓋 4C 防護需求 (本段內容採用 雲端資安風險與 Cloud Native Security 4C 模型的概念與實作 會後報導)

整體來說,雲端資安風險可分成兩塊 (參考上圖),其一來自 Cloud/Cluster 基礎架構層次,另一源自 Container/Code 執行階段。針對前者,舉凡異質雲端環境管理、網路安全管理,及因應複雜雲端環境的設定管理,皆可能出現挑戰;而在執行階段,可能因採用惡意的映像檔或開源元件,採用違反法規與政策的映像檔,或在 CI/CD 自動化階段出現不合理的容器權限配置,都會產生風險。

為協助企業解決上述難題,趨勢科技提供 Cloud One 雲端資安解決方案,內含多個產品項目,有助保障雲端應用安全,讓用戶順利推進數位轉型。

面對基礎架構層面的挑戰,企業可透過 Cloud One 當中的 Workload Security ,統一防禦公私雲上所有重要主機,避免各項服務遭受攻擊;以現今熱門的容器而論,不論承載 Apache 、資料庫或其他任何服務,只要安裝在 Workload Security 納管的主機上,即可一併接受防護。此外企業可善用 Conformity,持續自動地深層檢查雲端配置,避免出現違反法規或不安全的不當設定。

關於執行階段的挑戰,企業必須先有基本認知,藉由 DevOps、CI/CD 實施高速自動化的過程可能衍生安全議題,故而需要建立 DevSecOps 觀念,從一開始就考量到整體安全性,必須及早確保開發人員使用的內外部映像檔安全無虞,確保映像檔裡的開源元件符合最新版本,確認相關部署條件符合公司規定,例如不允許採用最高執行權限、或將敏感金鑰資訊藏於映像檔。(備註:參考影片

對此企業可藉由 Cloud One 中的 Container Security 做為基礎,利用其中 SmartCheck 功能深層掃瞄容器映像檔,及利用 Admission Control 確認部署狀況及 YAML 檔的設定,避免出現逾越公司資安政策的權限配置。

總括而論,企業只要借助趨勢科技 Cloud One 平台,活用 Workload Security、Conformity 與 Container Security 等工具,便能有效滿足雲端原生資安 4C 架構的各個層次資安控管需求,進而降低風險、安全上雲。