企業逐漸移轉至混合雲環境以便迎接更有效率、更加創新的未來,卻也面臨了一些關乎整體策略成敗的重大問題
今日,企業正紛紛投入數位轉型以徹底發揮數位化的潛力,畢竟,數位轉型不僅能提供競爭優勢,更能促進創新、提供改善營運的最新技術。其中一項最重要的技術就是雲端。雲端能為大大小小的企業提供處理巨量資料的能力,帶來龐大的儲存空間及運算效能,當然,好處還不僅止於此。
企業正採用混合雲環境來同時獲得雲端的可靠性與動態應變效益,混合雲除了能為企業提供公有雲的速度及擴充性之外,更能提供私有雲的主控權與可靠性。根據 2019 年 Nutanix 的一項調查顯示,有 85% 的受訪者認為混合雲是最理想的 IT 營運模式。此外 IDC 也預測,到了 2021 年,全球超過 90% 的企業都將採用混合雲端運算的模式來運作,其中包括:企業內環境、專屬私有雲、多個不同公有雲,以及傳統的運算平台。混合雲環境既可彈性地執行需要大量頻寬的應用程式,又能支援不太需要企業內資源的工作負載,讓企業擁有極大彈性與實用性。
繼續閱讀您的容器映像值得信賴嗎?看看 Docker Content Trust (DCT) 內容信賴功能如何將數位簽章運用於容器映像驗證以及管理可信賴內容
「映像是否值得信賴?」以容器建構的系統,其最重要一項必須解決的資安問題就是:驗證您所使用的容器是否正確,以及是否來自安全來源 (或者是否已遭惡意篡改)。根據我們的 2020 年 資安預測指出,惡意的容器映像一旦進入企業,很可能對企業造成危害。我們也曾撰文指出某些攻擊會利用不肖的容器映像來從事惡意活動,例如: 掃描網路上含有漏洞的伺服器及挖礦( coinmining )。
為了解決這項問題,Docker 推出了一項名為「內容信賴」(Content Trust) 的功能。此功能讓使用者能安心將映像部署至叢集 (Cluster) 或群集 (Swarm),並驗證是否為您原本想要的映像。不過 Docker Content Trust (DCT) 沒辦法做到持續監控您映像在 swarm 內所發生的變更或任何類似狀況。它單純只是一種由 Docker 用戶端 (而非伺服器) 所做的一次性檢查。
這一點對於 DCT 作為一種全時一致性監控系統的實用性有很大問題。趨勢科技在先前一篇有關雲端原生系統的一文當中提到可以使用像 Notary 這類映像簽署工具來解決「映像是否值得信賴」的問題。DCT 正是試圖提供一個內建工具讓 Docker 用戶端能做到這點。
本文將探討四個主題:
本文的另一個目的是提供一份完整教學來讓您了解如何輕鬆安裝及測試 DCT,因為現有的文件似乎相當零散稀少。
繼續閱讀雲端是今日的當紅炸子雞,善用雲端,就能發揮資源的最大效用、節省時間、提高自動化,也讓您減輕一些資安負擔。您知道駭客也已經跟上時代了嗎?犯罪集團正利用雲端資源來加速拓展版圖。
他們已開始將竊取到的登入憑證與使用者資訊存放在雲端,然後以訂閱或買斷的方式提供給其他犯罪集團使用。在一批含有一千個記錄檔的資料樣本中,我們總共找到了 67,712 個被駭的帳號網址。歹徒建立了所謂的「記錄雲」(Cloud of Logs),透過訂閱方式來存取,每月費用在 350 至 1,000 美元之間,裡面包含了數千筆或數百萬筆熱門網站 (Google、Amazon、Twitter、Facebook、PayPal 等等) 的帳號和密碼。
到這裡下載有關這個新興市場的完整報告
這些失竊的登入憑證可能使企業遭駭客入侵,而雲端又讓駭客的攻擊更加如虎添翼。
您或許會想:「我們公司的系統百分之百都在企業內部,沒有上雲端,所以我不用擔心」或是「這些都只是個人資訊,並非可能對我不利的商業資料。」
其實這種虛幻的安全感反而讓歹徒更容易得逞,因為歹徒並非攻擊企業的雲端基礎架構,而是利用雲端技術本身來提升並擴大其攻擊行動。而且,不同的帳號重複使用同樣的密碼,是任何企業都很常見的使用者問題,因此,員工個人的資訊安全也是企業風險評估的重點之一。
繼續閱讀趨勢科技非常開心能夠推出新的產品:Trend Micro Cloud One™ – Conformity 來強化 Azure 雲端資源的防護。
每當有新產品發表,我們總是有很多新的訊息要跟大家分享,因此我們決定專訪原 Cloud Conformity 公司創辦人 Mike Rahmati 來跟大家分享他的看法。Mike 骨子裡是一個科技人,對於透過雲端、開放原始碼以及靈活、精實原則來提供動態容錯、成長及擴充的軟體系統開發擁有輝煌的成就。在專訪中,我們請 Mike 說明新產品的功能如何協助客戶預防 Azure 上的組態設定錯誤,並且輕鬆矯正這些錯誤。讓我們來仔細瞧瞧。
企業在 Azure 或 Amazon Web Services (AWS) 上開發應用程式或將應用程式移轉至這些平台時,經常會遇到哪些問題?
最常見的問題就是市場上可選擇的工具和雲端服務很多,而企業所要的工具必須能夠整合至雲端內來提供可視性。影子 IT (Shadow IT) 的問題,還有業務單位自行註冊雲端帳號,對 IT 部門來說是一項管理上的真實挑戰。法規遵循、資安及企業治理方面的管控,對於全心全意投入創新的業務單位來說,並非是他們最關心的事。這就是為何您應該擁有一套強大的工具來提供您雲端環境的可視性,告訴您哪裡有潛在的資安與法規遵循風險。
繼續閱讀受新冠狀病毒(COVID-19,俗稱武漢肺炎) 的影響,全球企業都急於將資源和基礎架構移轉到雲端,而這也使得企業的受攻擊面從企業內部轉移到了雲端。
受 Covid-19 疫情的影響,全球企業都急於將資源和基礎架構移轉到雲端,而這也使得企業的受攻擊面從企業內部轉移到了雲端。然而急就章的同時,卻也帶來了一些 IT 資安部門從未面對過的受攻擊面。雖然 IT 資安部門已經知道如何保護企業內 DevOps 團隊的應用程式開發與發布作業,甚至是將準備上線的服務和容器發布到雲端。但當整個應用程式建構流程都全部移轉至雲端時,資安團隊卻不一定了解相關的資安風險。
最近出現了一個新型的 Linux 惡意程式叫作「DOKI」,它會攻擊各主要雲端廠商對外公開的 Docker API。駭客使用一個之前發現的漏洞攻擊技巧來入侵容器環境,但有關 DOKI 惡意程式的文獻記載卻是直到最近出現。
繼續閱讀