當前全球正處於數位化的轉型期,歷經疫情更是加速了這個趨勢。根據Palo Alto Networks最新發布的《2023年雲端原生安全現狀報告》統計,亞太區有34%新上線的應用服務為雲端原生開發,首次超過以往居多數的移植上雲(以現狀將應用程式移轉至雲端或只進行小幅度的修改)作法。相應的資安風險控管,則可藉由雲端原生應用保護平台(CNAPP)來協助,Palo Alto Networks提供的解決方案稱為Prisma Cloud。
Palo Alto Networks台灣技術總監蕭松瀛觀察,近幾年,企業IT開始陸續建置容器環境,來開發新的營運業務。初期對於資安機制的需求量並不多,隨著今年(2023)開始,製造、金融等產業採用雲端平台的數量增長,Prisma Cloud也開始受到重視。
「從實際應用案例來看,近半年炙手可熱的人工智慧(AI)伺服器大廠之一,近期大量採購Prisma Cloud。台灣的高科技製造業海外建廠,當地IT應用系統的建置,通常需要花費10週。應用系統演進到雲端化後,建置時程縮減到1週即可完成。由此可發現雲端化的確大幅地提高了全球布局的效率以及彈性。」蕭松瀛說。
雲端原生應用安全首重可視性
過去企業探討雲端運算應用模式,主要著眼於地端系統遷移上雲,運行一段時間後發現,按月支付的實體資源費用相當高。改為雲端原生應用,蕭松瀛認為,不僅可增添更多實用功能、加快部署速度,更重要的是比起地端系統直接遷移上雲的成本開支更低,可說是企業朝向雲端原生應用發展的驅動力。
但是蕭松瀛提醒,資安或DevOps團隊須更加重視應用程式層級的風險。根據Palo Alto Networks的《2023年雲端原生安全現狀報告》統計,90%的受訪者都表示他們的企業無法在一小時內偵測、控制和解決資安威脅。缺乏可視性可說是首要的障礙因素。
他進一步提及,應用程式安全性的終極目標是進行弱點管理,也就是釐清程式碼弱點的優先順序並及時進行修復,以免讓攻擊者有機會滲透入侵成功。為了幫助企業達到防堵成效,雲端安全防護方案必須在整個應用程式開發生命週期(SDLC)中持續提供即時的偵測,在最短時間察覺設定配置錯誤、程式碼弱點,協助資安或DevOps團隊快速釐清潛在風險,立即採取行動。
應用發布前先排除資安疑慮
雲端原生應用程式不同於傳統應用,其構造與運行方式需要適應快速變化的市場需求。這樣的靈活性雖然有助於業務成長,卻也讓安全隱患成為不容忽視的問題。所謂的CNAPP平台之所以興起,正是為了解決雲端原生應用的安全隱患。
蕭松瀛說明,CNAPP核心精神是依循DevOps工作流程,在應用開發生命週期(SDLC)中融合資安機制,在初期階段就納入安全性的考量,而非等到發布上線後再配置防護措施。CNAPP平台具備四大核心價值:
1.橫跨應用開發生命週期的資安。透過全程監控,確保從開發階段到部署、維運的安全性。
2.統一平台整合各種開發工具。讓開發者能運用最熟悉的工具操作輔助提高安全等級,降低學習成本和整合難度。
3.優先處理高風險漏洞。專注於可能造成重大影響的資安告警,以有限的資源實現最大的安全效益。
4.應用套件、雲端底層資源配置與執行時期的可視性。透過綜合分析找出最關鍵的風險點,並在執行階段採取控管措施。
Palo Alto Networks的Prisma Cloud服務,本就具備了雲端安全狀況管理(CSPM)、雲端工作負載防護(CWPP)、雲端基礎結構權限管理(CIEM)等功能,符合Gartner所定義CNAPP平台須具備的必要條件。隨著Prisma Cloud平台上各項功能的持續優化以及新功能陸續推出,例如軟體組成分析(Software Composition Analysis,SCA)、基礎結構即程式碼掃描(IaC Scanning)等機制,可進一步確保應用程式開發初期階段不至於出現漏洞或錯誤配置。不同技術領域的機制統一由Prisma Cloud平台來提供,可有效降低雲端原生應用防護的複雜度。
生成軟體物料清單持續監看防惡意
具體來看CNAPP如何在雲原生應用的生命週期中提供保護,蕭松瀛舉例,應用程式開發人員大多會採用整合開發環境(IDE)來協助,例如Visual Studio Code、JetBrains等。在開發的前期階段,Prisma Cloud就可協助來掃描是否使用到有問題的開源套件、函式庫,或是檢查樣本檔案中是否藏有秘密金鑰(Secret Key),避免在程式開發的前期階段就埋藏了系統漏洞,減少未來發布上線後須修補的機率。
接下來當應用程式要建立(Build)映像檔時,Prisma Cloud可以協助透過映像檔沙箱分析的機制,檢查是否含有不合規或隱藏的惡意套件、挖礦程式,避免有安全疑慮的映像檔被部署到正式環境,或是整合現有的CI/CD工具,把資安檢查機制融入到DevOps工作流程。
由於任何開發者或者DevOps工程師都能輕易地從外部儲存庫(例如Docker Hub)拉取並執行映像檔。因此,許多組織逐漸依賴外部程式碼、開源映像檔,以及從不同來源拉取的套件。
在現代化的軟體開發流程中,這種便捷性促進了開發速度的提升,並為全球的開發者提供了更大的協同合作空間。但是,一旦開源映像檔中含有惡意程式碼或隱藏的漏洞,這可能會危及整個系統的安全。因此透過外部儲存庫拉取的映像檔和套件可先經過映像檔沙箱分析審查,確保安全性。
當應用程式成功部署到正式環境之後,Prisma Cloud也提供了Web應用程式與API安全性(WAAS)、Runtime Protection等防護機制,避免正式環境的應用服務被攻擊,或者運行環境某個組成元件被挖掘最新漏洞,可運用虛擬補丁(Virtual Patch)執行防護,緩解各種攻擊手法造成的影響。
Palo Alto Networks台灣技術總監蕭松瀛指出,從近期大量採購Prisma Cloud的客戶案例可發現,應用系統演進到雲端化後,海外拓展據點的IT應用系統建置從10週縮減到1週,確實可大幅提高全球布局的效率以及彈性。
Prisma Cloud最新的進展是近期新增加CI/CD Security模組,提供整合式軟體交付流程安全性。CI/CD Security技術源自Palo Alto Networks於2022年收購Cider Security,為軟體開發生命週期使用的工具和操作流程提高可視性,進而運行分析,識別高風險行為,以免發生資安事件。
此外,CI/CD Security模組亦可生成軟體物料清單(SBOM),以追蹤所有應用程式風險來源,有效控管可能的攻擊面。並且依據「OWASP Top 10 CI/CD安全風險」持續監控,讓駭客無法破壞部署管道或注入惡意程式。