基礎架構程式碼:資安風險與如何防範?

基礎架構程式碼 (IaC) 是 DevOps 實務中實現軟體開發靈活性很重要的一環,在這份報告當中,我們點出了 IaC 實務上的一些資安風險以及對應的最佳資安實務原則。

由於 IT 基礎架構所承受的要求以及持續整合/持續交付 (CI/CD) 流程的風險不斷升高,因此,一致而可擴充的自動化顯得日形重要。這就是「基礎架構程式碼」(Infrastructure as Code,簡稱 IaC) 所扮演的角色。IaC 是一種利用機器可解讀的檔案格式來配置、設定與管理基礎架構的實務方法。有別於手動設定企業內及雲端環境的作法,系統管理員和系統架構師可透過 IaC 來將上述工作 自動化。IaC 與基礎架構服務  (Infrastructure as as Service,簡稱 IaaS) 兩者絕配,而且也廣獲眾多企業採用,不僅可 加速開發及擴充雲端環境,又能降低成本。

IaC 在概念上類似撰寫腳本來將 IT 流程自動化,不過 IaC 採用描述性語言來實現更彈性的資源配置與部署 (也就是由軟體本身來負責啟動基礎架構變更),而且 IaC 對雲端運算與 DevOps 尤其重要。

IaC 工具大致可分成兩類:一種是協調工具,用來配置、組織與管理基礎架構元件 (如 CloudFormationTerraform);另一種是組態管理工具,用來安裝、更新、管理基礎架構元件內所執行的軟體 (如 AnsibleChefPuppetSaltStack)。這類工具可讓開發人員和雲端架構師消除一些容易出錯的手動流程,讓大規模的組態設定與管理作業得以簡化。

繼續閱讀

2021 年最重要的雲端資安問題

雲端是一個潛力無窮的環境,它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術,但它也並非如表面上看來的那樣美好,就讓本文為您解說未來一年雲端資安最重要的問題。


2021 年最重要的雲端資安問題

雲端是一個潛力無窮的環境,它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術。

現在,您只需要一道指令,就等於可以啟動一整個資料中心,而且還能自動擴充規模來滿足數百萬客戶的需求。而一些高階的機器學習與分析,也只需一道 API 呼叫即可達成。

這使得開發團隊能夠加速創新,他們幾乎只需專注於創造商業價值。

然而,情況不可能總是那麼美好,在一般人的認知,隨著潛力的提升,資安挑戰也變得更大,開發團隊勢必得面對零時差漏洞、漏洞攻擊、影子 IT 等等問題。

事實並非如此。

至少這些都不是最重要的問題,雲端開發人員的首要資安挑戰其實非常單純。

Image 2

那就是服務組態設定錯誤的問題。

繼續閱讀

雲端安全的秘訣是…

雲端安全的秘訣是什麼?趨勢科技專家有答案

企業正以前所未有的速度來投資雲端基礎設施和應用程式,好在疫情爆發期間不僅能夠生存下去,還可以更加發展。但是數位化的擴張也擴大了公司的受攻擊面。那麼雲端安全的秘訣是什麼?我們邀請了眾多趨勢科技專家來幫助你制定致勝的策略。

Mark Nunnikhoven(雲端研究副總)

擁抱變化。


資安團隊一直在救火,尤其是在當下,所以不願照業務需要的速度擁抱新的技術。同時,資安團隊也急需減少工作量,所以重複使用相同作法對他們來說更有效率。然而這種態度最終會阻礙企業發揮雲端技術真正的潛力。最終還會因為舊技術與雲端環境動態需求的脫節而導致更糟糕的安全結果。

Jon Clay(全球資安威脅溝通總監):

教育


我們在技術上所面臨的最大挑戰之一是進步的速度。儘管這能夠推動業務創新並改善我們的日常生活,但也可能需要付出一定的代價,也就是資安團隊需要花費額外時間來理解技術以及它可能會如何被攻擊。今日的雲端運算就是如此。IT團隊通常缺乏如何有效部署和保護雲端環境的培訓和知識。

設定不當是駭客能夠入侵雲端基礎設施的最大原因之一。為了改善這狀況,企業需要在部署任何新環境前,先對員工進行雲端技術的教育訓練。並且隨著技術的不停發展,要確保員工持續地接受訓練。

Bill Malik(基礎設施策略副總):

基於安全的設計。

繼續閱讀

雲端運算時代的供應鏈攻擊:風險、如何防範,以及確保後端基礎架構安全的重要

後端基礎架構是企業應細心守護的一項企業關鍵資產,因為一旦遭到入侵,很可能將引發供應鏈攻擊。

Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends
檢視「雲端運算時代的供應鏈攻擊:風險、如何防範,以及確保後端基礎架構安全的重要」。

資安是每家企業在 採用與移轉至雲端技術時都必須考量的重要一環。企業必須優先保護的資源包括:網路、端點及應用程式。此外,還有一項企業應該細心守護的關鍵資產就是後端基礎架構,因為一旦遭到入侵,很可能將引發供應鏈攻擊。

企業通常都會採用端點防護與網路防護產品來保護後端環境的伺服器以及負責儲存與處理大量寶貴資料的內部系統。為了盡可能節省成本,有些企業會將後端基礎架構移轉至雲端,或者採用雲端式解決方案在企業內架設私有雲。

不過這樣的作法要非常小心謹慎,才不會讓企業暴露在駭客攻擊的風險中,例如之前發生的多起導致營運中斷、財務損失及商譽損失的供應鏈攻擊。在「雲端運算時代的供應鏈攻擊:風險、如何防範,以及確保後端基礎架構安全的重要」(Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends) 一文當中,我們列舉了各種我們分析過的資安風險,並提出幾項防範技巧給 DevOps 參考,尤其是關於 Jenkins、Docker、Kubernetes 以及 AWS Cloud9 與 Visual Studio Codespaces 等雲端整合開發環境 (IDE)的問題。

Jenkins


後端系統的預設組態設定,即使是在認證啟用的狀況下,還是會帶來相當大的資安風險。軟體開發團隊經常用到的開放原始碼自動化伺服器 Jenkins 就被發現有這樣的風險。

繼續閱讀

縱深防禦的多層式雲端內防護

意見領袖討論今日網路防護的演進、現況及未來。在介紹完過去的歷史及重要觀念之後,順便告訴讀者為何資安團隊需要多層式雲端內防護。


入侵防護 (IPS) 與雲端的發展歷史,以及為何我們又將回到歡樂時光


在最近之前,網路防禦不僅似乎繞了一圈又回到了原點,而且還讓我們倒退到過去。在網路層次防範攻擊,一開始只能做到偵測,當偵測到惡意活動時,必須靠人工採取行動來降低損害,而且回應速度得夠快才行。此時防範的重點在於限制哪些流量可以通過閘道與防火牆,然後再交由 IDS (入侵偵測) 來偵測惡意活動。這聽起來似乎沒有很強,確實如此,所以後來才會進步到所謂的 IPS (入侵防護)。既然可以偵測到攻擊流量,那為何不乾脆加以攔截?

繼續閱讀