數位化已是各產業皆無法迴避的趨勢,採用雲端運算服務成為戰略目標之一,以保持彈性靈活架構,運用快速推陳出新的新興技術達到營運目標。與此同時,雲端環境的資安議題須一併解決,才得以贏得競爭力。
Check Point資安傳教士楊敦凱引述該公司發布的《2023年雲安全報告》調查報告說明,目前工作負載過半以上運行在雲端環境的企業已有39%。隨著雲端原生應用持續發展,攻擊面也隨之擴大,惡意人士可鎖定掃描雲端基礎架構的錯誤配置來進行滲透入侵。依據《2023年雲安全報告》統計,過去12個月公有雲的應用服務曾發生過資安事件的比例為24%,事件類型首要是錯誤配置資源占比19%,其次是帳密外洩16%,以及漏洞被利用16%。
進一步探究企業對於雲端原生應用安全議題的看法,58%受訪者認為難以掌握異質公有雲環境的操作技能,且有52%在資料安全與隱私保護方面正面臨挑戰,總計有高達76%表示非常擔心雲端安全問題。畢竟雲端原生應用技術堆疊主要是開源陣營,不僅底層實體資源改以程式碼自動配置取代人工輸入指令集的建置方式,許多IT團隊對於開源作業系統上啟用的容器叢集也不夠熟悉,再加上應用軟體也從單體式拆解成微服務架構,管理方法與技術工具若未跟進,勢必難以確保數位化應用模式的穩定性、安全性以及合規性。這也是雲端原生應用安全防護平台(CNAPP)可獲得企業青睞的主因。
建構整合異質功能控管平台
為協助企業解決雲端安全問題,近兩年資安市場上陸續推出了雲端安全態勢管理(CSPM)以確保雲端安全配置的符合法規規範、雲端工作負載防護(CWPP)以保障運行階段的安全性,還有雲端基礎架構權限管理(CIEM)則是採用自動化方式控管雲端環境中使用者權限和特權。 問題是資安或DevOps團隊人才稀缺,恐難有時間學習各種類型工具的操控方式,解決當務之急。欲有效地降低資安風險,仍須透過蒐集所有日誌檔與觸發產生的告警事件,以運用關聯與分析輔助勾勒出工作流程中產生高風險行為的環節,讓資安專業團隊基於威脅情資主動獵捕與追蹤,在發生資安事故前先行阻斷惡意執行程序。
Check Point的整合式雲端原生應用保護平台(CNAPP)名為CloudGuard,其核心理念是以預防為主軸,涵蓋CSPM、CWPP、CIEM等不同功能的技術領域,以單一平台來提供,減少操作維運複雜度。Check Point雲端事業部業務經理謝欣蓉指出,就國際市場上積極推動雲端化的企業應用案例來看,用於管理公有雲的開源工具平均達10套之多,Check Point研發團隊有能力讓眾多開源技術可相互關聯,進而計算出運行指標的風險數值,並依照危險等級排序,讓資安或DevOps團隊可優先處理最嚴重的問題。
舉例來說,Log4j的漏洞危險程度相當高,一旦被觸發,可能同時多個節點都會發出高嚴重等級的告警通知,讓維運團隊不知從何著手。此時CloudGuard CNAPP即可明確指出優先處理事項,首要是從對外提供應用服務的系統著手,杜絕漏洞遭惡意人士滲透入侵的機率。
ERM引擎計算風險指數
Check Point CloudGuard CNAPP是一個預防為主的平台,致力在程式碼開發撰寫和運行階段提高可視化能力,以計算工作流程的風險數值,即時洞察惡意活動,降低發生資安事件的機率。楊敦凱說明,CloudGuard CNAPP獨特之處在於具備有效風險管理(Effective Risk Management,ERM)引擎,利用機器學習來理解與判讀大數據,在獨立事件彼此之間建立關聯,資安維運團隊便可專注處理對營運業務而言最重要的風險。
「雲端原生應用具備快速發布的特性,版本更新與變動速度相當快,可藉由ERM即時掌握最具影響力的風險,例如違反合規規範或出現漏洞,讓維運人員聚焦在處理嚴重等級最高的風險。」楊敦凱說。
CloudGuard CNAPP亦提供智慧風險優先排序,支援DevOps團隊在整個軟體開發生命週期中,可根據風險嚴重程度快速消除重大漏洞,例如配置錯誤和未經授權的連線互通。實作方式是透過CNAPP平台整合與收斂不同環節產生的資料,並轉化為簡單明瞭的建議指引,可有效減少以往經常發生「告警疲勞」,導致忽略掉真正至關重要的威脅,最終引發資安事故。
Check Point資安傳教士楊敦凱(右)與雲端事業部業務經理謝欣蓉(左)指出,具備雲原生開發生命週期所須安全機制的CloudGuard,已經跟伊雲谷展開深度合作,把產品技術服務化,協助大量採用雲服務的新創公司提升安全等級。
專為開發者研發的程式碼掃描機制
除了在CloudGuard CNAPP平台內建ERM風險控管引擎,近期Check Point亦積極增添無代理程式掃描,辨識虛擬主機、容器環境、無伺服器服務等雲端工作負載的風險,具備錯誤配置、惡意軟體、未修補漏洞檢測,以及管道工作流程安全(Pipeline Security)機制。這些新功能有助於提高應用場景的能見度,進而加快反應速度,讓雲端可安全維運,無須仰賴傳統獨立偵測機制告警通知,資安團隊將能專注打造從程式碼到雲端的全面威脅防禦,同時強化DevOps敏捷性。
Pipeline Security機制來自於Check Point於2022年收購Spectral取得的技術。Spectral是一家以色列新創公司,自主研發設計提供開發者基於以安全為優先的工具來執行工作任務。CloudGuard CNAPP平台已納入Spectral技術,藉此實踐「資安左移」,讓開發人員在持續整合/持續發布(CI/CD)流程中的持續整合階段,就可檢測並修復自動化執行IaC範本(Terraform、CloudFormation、Kubernetes),指出配置參數的錯誤,或可能導致機敏資料外流的環節,讓開發人員在程式碼發布上線前先行修復,預防發生資安事件。 此外,金鑰和憑證外洩事件,自從開源的Repository平台成為程式碼版本控管主流後,較以往日漸嚴峻。主因不外乎開發人員可能在時間壓力下、急於交付的過程中,因忽略檢查程式碼安全性而暴露憑證等資訊。Pipeline Security機制有助於在DevOps工作流程的前期階段執行檢查,提醒開發者修改與調整建議,從源頭杜絕機敏資料外洩。