落實Cloud Native Security 4C架構 安心推進雲端創新旅程 智慧應用 影音
member
EVmember

落實Cloud Native Security 4C架構 安心推進雲端創新旅程

趨勢科技建議藉由「4C架構」,包含Cloud、Cluster、Container、Code,理解雲端原生應用資安的內涵,建立趨吉避凶之道。趨勢科技
趨勢科技建議藉由「4C架構」,包含Cloud、Cluster、Container、Code,理解雲端原生應用資安的內涵,建立趨吉避凶之道。趨勢科技

身處數位化時代,愈來愈多企業為加快創新,都傾向在公有雲、私有雲、企業內或混合雲等動態環境中建立與執行可調整的應用程式,以減輕開發負擔、提升開發效率、簡化管理複雜度,使雲端原生運算蔚為風潮。

但不少企業在擁抱雲端的同時,也關心背後是否潛藏自己有所不知的資安疑慮。為此趨勢科技於日前舉辦「雲端資安風險與Cloud Native Security 4C的概念與實作」線上講堂,期望協助企業釐清雲端資安威脅來源、迅速解決問題。

趨勢科技提供Cloud One雲端資安解決方案,內含多個產品項目,有助保障雲端應用安全。趨勢科技

趨勢科技提供Cloud One雲端資安解決方案,內含多個產品項目,有助保障雲端應用安全。趨勢科技

如欲瞭解更多趨勢科技LetsTalk Online線上資安課程主題與報名資訊,請掃描QRCode。趨勢科技

如欲瞭解更多趨勢科技LetsTalk Online線上資安課程主題與報名資訊,請掃描QRCode。趨勢科技

對焦4C模型  整理各環節的資安隱憂

趨勢科技大型事業部業務協理楊肇謙指出,雲端應用炙手可熱,已成為眾多國家、企業建立競爭優勢的來源。影響所及,無論新創公司、中大型企業都積極發展雲端原生應用,擁抱無伺服器運算、容器、混合雲、微服務及DevOps等新技術;儘管這些新興應用日益成熟,但隨著資安事件陸續曝光,企業也開始繃緊神經、急欲探究雲端資安風險。

駭客組織Teams TNT利用挖礦蠕蟲,欲從企業Docker或Kubernetes環境竊取AWS密碼。也有企業肇因外包商初期在AWS環境上設定錯誤,導致600萬用戶資料意外曝光。這些訊息,對企業猶如震撼教育。

趨勢科技雲端安全架構師任宗偉建議,儘管雲端與企業熟知的環境差異大、且更加複雜,但仍可藉由「4C架構」理解雲端原生應用資安的內涵,建立趨吉避凶之道。

4C包含Cloud、Cluster、Container、Code,看似各自獨立,但事實上彼此緊密結合。第一個Cloud Layer,負責提供最根本的基礎架構,包括系統、網路及儲存等資源;企業使用雲端服務時,須針對各個服務元件做好組態設定,避免出現不符公司政策或偏離實際需求的配置。

再來是Cluster Layer,是一個概念上的服務集合,會自動分配網路資源給服務元件,確保它們正常執行;值得一提,不管是Cluster、Worker Node等元件與元件之間的溝通網路,或Container的網路,一旦出現弱點,便可能淪為駭客攻擊破口。

Container Layer是執行單位,蘊含輕巧性、可攜性和平台一致性。至於Code Layer代表組態設定檔;在雲端環境裡,我們需要使用「基礎架構程式碼」(IaC)來設定組態,好處是一致、正確且快速,但在IaC自動化部署過程,若配置檔中帶有不合理的組態,就容易發生意料外的資安事件。

善用Cloud One  完整涵蓋4C防護需求

任宗偉說,雲端資安風險可分成兩塊,其一來自Cloud/Cluster基礎架構層次,另一源自Container/Code執行階段。針對前者,舉凡異質雲端環境管理、網路安全管理,及因應複雜雲端環境的設定管理,皆可能出現挑戰;而在執行階段,可能因採用惡意的映像檔或開源元件,採用違反法規與政策的映像檔,或在IaC自動化階段出現不合理的容器權限配置,都會產生風險。

為協助企業解決上述難題,趨勢科技提供Cloud One雲端資安解決方案,內含多個產品項目,有助保障雲端應用安全,讓用戶順利推進數位轉型。

面對基礎架構層面的挑戰,企業可透過Cloud One當中的Workload Security,統一防禦公私雲上所有重要主機,避免各項服務遭受攻擊;以現今熱門的容器而論,不論承載Apache、資料庫或其他任何服務,只要安裝在Workload Security納管的主機上,即可一併接受防護。此外企業可善用Conformity,持續自動地深層檢查雲端配置,避免出現違反法規或不安全的不當設定。

關於執行階段的挑戰,企業必須先有基本認知,藉由DevOps、CI/CD實施高速自動化的過程可能衍生安全議題,故而需要建立DevSecOps觀念,從一開始就考量到整體安全性,必須及早確保開發人員使用的內外部映像檔安全無虞,確保映像檔裡的開源元件符合最新版本,確認相關部署條件符合公司規定,例如不允許採用最高執行權限、或將敏感金鑰資訊藏於映像檔。

對此企業可藉由Cloud One中的Container Security做為基礎,利用其中SmartCheck功能深層掃描容器映像檔,及利用Admission Control確認部署狀況及YAML檔的設定,避免出現逾越公司資安政策的權限配置。

總括而論,企業只要借助趨勢科技Cloud One平台,活用Workload Security、Conformity與Container Security等工具,便能有效滿足雲端原生資安4C架構的各個層次資安控管需求,進而降低風險、安全上雲。

如欲瞭解更多趨勢科技LetsTalk Online線上資安課程主題與報名資訊,請至活動網站

關鍵字
議題精選-數位轉型專網