落實Cloud Native Security 4C架構 安心推進雲端創新旅程

趨勢科技建議藉由「4C架構」，包含Cloud、Cluster、Container、Code，理解雲端原生應用資安的內涵，建立趨吉避凶之道。趨勢科技

身處數位化時代，愈來愈多企業為加快創新，都傾向在公有雲、私有雲、企業內或混合雲等動態環境中建立與執行可調整的應用程式，以減輕開發負擔、提升開發效率、簡化管理複雜度，使雲端原生運算蔚為風潮。

但不少企業在擁抱雲端的同時，也關心背後是否潛藏自己有所不知的資安疑慮。為此趨勢科技於日前舉辦「雲端資安風險與Cloud Native Security 4C的概念與實作」線上講堂，期望協助企業釐清雲端資安威脅來源、迅速解決問題。

對焦4C模型  整理各環節的資安隱憂

趨勢科技大型事業部業務協理楊肇謙指出，雲端應用炙手可熱，已成為眾多國家、企業建立競爭優勢的來源。影響所及，無論新創公司、中大型企業都積極發展雲端原生應用，擁抱無伺服器運算、容器、混合雲、微服務及DevOps等新技術；儘管這些新興應用日益成熟，但隨著資安事件陸續曝光，企業也開始繃緊神經、急欲探究雲端資安風險。

駭客組織Teams TNT利用挖礦蠕蟲，欲從企業Docker或Kubernetes環境竊取AWS密碼。也有企業肇因外包商初期在AWS環境上設定錯誤，導致600萬用戶資料意外曝光。這些訊息，對企業猶如震撼教育。

趨勢科技雲端安全架構師任宗偉建議，儘管雲端與企業熟知的環境差異大、且更加複雜，但仍可藉由「4C架構」理解雲端原生應用資安的內涵，建立趨吉避凶之道。

4C包含Cloud、Cluster、Container、Code，看似各自獨立，但事實上彼此緊密結合。第一個Cloud Layer，負責提供最根本的基礎架構，包括系統、網路及儲存等資源；企業使用雲端服務時，須針對各個服務元件做好組態設定，避免出現不符公司政策或偏離實際需求的配置。

再來是Cluster Layer，是一個概念上的服務集合，會自動分配網路資源給服務元件，確保它們正常執行；值得一提，不管是Cluster、Worker Node等元件與元件之間的溝通網路，或Container的網路，一旦出現弱點，便可能淪為駭客攻擊破口。

Container Layer是執行單位，蘊含輕巧性、可攜性和平台一致性。至於Code Layer代表組態設定檔；在雲端環境裡，我們需要使用「基礎架構程式碼」(IaC)來設定組態，好處是一致、正確且快速，但在IaC自動化部署過程，若配置檔中帶有不合理的組態，就容易發生意料外的資安事件。

善用Cloud One  完整涵蓋4C防護需求

任宗偉說，雲端資安風險可分成兩塊，其一來自Cloud/Cluster基礎架構層次，另一源自Container/Code執行階段。針對前者，舉凡異質雲端環境管理、網路安全管理，及因應複雜雲端環境的設定管理，皆可能出現挑戰；而在執行階段，可能因採用惡意的映像檔或開源元件，採用違反法規與政策的映像檔，或在IaC自動化階段出現不合理的容器權限配置，都會產生風險。

為協助企業解決上述難題，趨勢科技提供Cloud One雲端資安解決方案，內含多個產品項目，有助保障雲端應用安全，讓用戶順利推進數位轉型。

面對基礎架構層面的挑戰，企業可透過Cloud One當中的Workload Security，統一防禦公私雲上所有重要主機，避免各項服務遭受攻擊；以現今熱門的容器而論，不論承載Apache、資料庫或其他任何服務，只要安裝在Workload Security納管的主機上，即可一併接受防護。此外企業可善用Conformity，持續自動地深層檢查雲端配置，避免出現違反法規或不安全的不當設定。

關於執行階段的挑戰，企業必須先有基本認知，藉由DevOps、CI/CD實施高速自動化的過程可能衍生安全議題，故而需要建立DevSecOps觀念，從一開始就考量到整體安全性，必須及早確保開發人員使用的內外部映像檔安全無虞，確保映像檔裡的開源元件符合最新版本，確認相關部署條件符合公司規定，例如不允許採用最高執行權限、或將敏感金鑰資訊藏於映像檔。

對此企業可藉由Cloud One中的Container Security做為基礎，利用其中SmartCheck功能深層掃描容器映像檔，及利用Admission Control確認部署狀況及YAML檔的設定，避免出現逾越公司資安政策的權限配置。

總括而論，企業只要借助趨勢科技Cloud One平台，活用Workload Security、Conformity與Container Security等工具，便能有效滿足雲端原生資安4C架構的各個層次資安控管需求，進而降低風險、安全上雲。

如欲瞭解更多趨勢科技LetsTalk Online線上資安課程主題與報名資訊，請至活動網站。