經過COVID-19疫情起伏不定的震撼教育,企業高階管理層深刻體認到雲端服務的價值,讓營運業務面對外部環境的劇變仍可維持正常運行,因而擴大採用雲端服務的應用場域。
老牌的次世代防火牆軟體技術廠商Check Point,多年來積極發展的CloudGuard雲原生安全平台,則正可協助企業得以在私有雲、公有雲、混合或多雲環境,運用自動化機制建立一致性安全等級。
Check Point資安傳教士楊敦凱指出,特別是需要高度運算力的營運系統,透過檔案內容予以遮罩處理後即可安心存放在雲端平台,藉此利用靈活彈性可橫向擴充資源的特性,運行即時分析。實際接觸本土傳統產業可發現,過去相當保守的製造業對於雲端服務態度已呈現大轉變,主要驅動力來自於發展智慧化製造,需仰仗更多儲存與運算力來輔助,隨選即用的雲端資源正是最佳方案,或許相較自建設備的費用未必較少,卻可縮短採購與部署耗費的時間,及時滿足應用需求,同時降低後續維運的成本。
至於雲端安全問題,則是服務供應商與用戶共同承擔的責任,企業方須自行控管登入者身分識別與權限配置、杜絕未經授權存取行為、針對機敏性較高的數位資產予以加密與持續監看安全狀態確保合規。儘管公有雲服務商皆有提供若干資安服務讓企業選用,問題是大多僅限於自家平台上部署的雲端原生應用,欠缺支援異質公有雲平台的能力。這正是既有技術發展已相當成熟的資安供應商可發揮之處,以豐富的領域知識為核心優勢,研發設計雲端原生的安全機制,更能幫助企業得以將地端的控管模式套用到雲端,運用單一平台操作執行。
另一方面,地端應用系統遷移部署到雲端平台,安全保護措施同樣也得具備。雲原生安全方案讓過去地端的資安配置邏輯與控管方法在雲端同樣可沿用,IT管理者無須重新學習,更可降低工作負擔。
CNAPP設計雲原生安全準則
對於應用遷移上雲後,資安防護機制該如何部署,多數企業通常不知如何著手,所幸既有資安技術供應商、新創公司皆看重雲端運算應用模式的安全性議題,紛紛提出相關防護方案,陸續增添雲端工作負載防護平台(CWPP)、雲端安全狀態管理(CSPM)、網頁應用程式與API防護(WAAP)、雲端基礎架構權限管理(CIEM)等服務項目,然而究竟該如何評估?楊敦凱建議,雲端安全架構設計流程,基本原則可參考國際間較多被採納的模式,例如Google提出的4C(Cloud、Cluster、Container、Code)模型,以及Gartner最新定義的CNAPP(Cloud Native Application Protection Platform)來設計雲端原生安全架構。
他進一步說明,Check Point在資安領域累積超過20年的經驗,陸續藉由收購取得Dome9(現已更名為Cloud Security Posture Management)與Odo Security遠距存取控管技術補強SASE發展策略、ForceNock新創公司研發的WAAP、Protego的無伺服器(Serverless)安全技術等,整合成為足以完整協助雲端環境提升防護等級的服務。
透過Check Point近年來積極以收購手段取得技術可發現,傳統專注於地端機房的資安廠商欲跨足到雲端環境,並非原封不動地移植掛載虛擬主機版本即可,如今安全機制須基於雲原生平台建構容器叢集與微服務架構,Check Point擁有的資安專業知識正可藉此發揮。
工作負載平移初始配置錯誤管控
針對工作負載平移(Lift-and-shift)的趨勢,Check Point基於CNAPP發展設計多種防護機制,包括CloudGuard Posture Management輔助監控CI/CD Pipeline,確保持續不斷地滾動調整得以確保合規與安全性;CloudGuard Workload掌握虛擬主機與Kubernetes容器叢集運行的工作負載;至於Check Point既有的網路安全技術,例如網頁應用程式防火牆(WAF)、API防護等機制,則以CloudGuard Network Security來提供。
Check Point資安顧問郭瀚洋指出,雲端轉型的第一步,通常是工作負載平移,意即企業在不變動軟硬體架構的情況下逐步遷移到雲端,對此,藉由CSPM、CWPP等雲服務輔助可增進上雲的信心。以CSPM實際應用為例,首要是建立應用環境可視性,運用CloudGuard雲原生安全服務可透過API每30分鐘自動撈取公有雲平台的Metadata,不至於涉及機敏內容。其次是選擇適當合規框架,CloudGuard內建超過三百種產業合規性樣本,例如HIPAA、PCI-DSS、GDPR等,執行初始測試後,即持續監控狀態確保法規遵循,並藉此偵測發現問題自動化執行緩解,最終可產出安全性報告提交稽核單位審查。
Check Point資安傳教士楊敦凱(右)與Check Point資安顧問郭瀚洋(左)指出,傳統專注於地端機房的資安廠商欲跨足到雲端環境,須基於雲原生平台建構容器叢集與微服務架構,讓長期累積的資安專業知識得以發揮價值。
楊敦凱強調,運用CloudGuard單一平台建立雲端安全,不僅達到法規遵循要求,更重要的是內建CloudBot具備自動緩解錯誤配置的能力,同時發送郵件通知IT管理者,以免初始化配置疏失造成雲端環境安全漏洞被攻擊者利用,導致營運損失風險。
整合CI/CD檢測阻絕漏洞風險
CloudGuard單一平台建立雲端安全,網路雲端安全防護搭配情資與威脅獵捕,正在積極整合網路偵測與應變平台(NDR)技術,在不同的可用區域(Available Zone)節點部署感知器,增進可視化能力,同時串聯地端資安設備檢查攻擊入侵活動,以消弭網路APT攻擊,增進雲端安全態勢管理、容器與無伺服器(Serverless)工作負載、應用程式防火牆與API安全性。
CloudGuard AppSec為Check Point今年(2021)年初新發布的服務,具有緩解OWASP Top 10網頁安全風險、API風險評分、阻止惡意機器人攻擊,並且藉由機器學習與深度學習演算分析技術,串連應用服務完整活動軌跡,建構正常應用程式行為模型,即使DevOps團隊頻繁發布更新程式碼,AppSec亦可藉由持續地學習提升自動化判讀異常行為的準確度,並且針對不同風險等級設定強制執行回應措施。
例如DevOps團隊可在AWS CloudFormation、Terraform等持續整合與持續交付(CI/CD)工具中整合CloudGuard AppSec,在AWS Lambda部署前評估安全狀態,可藉由CloudGuard圖形化介面呈現Serverless相關的Function、Trigger、Library等,藉此完整掌握抽象的程式碼運行邏輯,分析部署前後的應用程式碼以持續保持安全態勢感知。一旦系統偵測發現參數配置錯誤或漏洞風險,亦可主動發出告警通知,並提出修改建議步驟,以免成為資安破口。