無伺服器運算平台對資安的意義為何?

容器為企業帶來了各種很棒的效益:輕量化、彈性、擴充性,以及不同平台之間的一致性。

容器的特性之一就是,它們是在指定的命名空間與分開獨立的資源上執行。如果採用一般通用的作業系統來執行容器,會讓人有殺雞用牛刀的感覺,因為這類作業系統的許多功能和介面都將無用武之地。

網路資安一個很重要的原則就是要盡量減少暴露在外的介面,然後再套用最嚴格的組態設定,僅執行絕對必要的功能來強化平台的安全性。

                                                                                                                                           開發人員若要在受限制的平台上部署容器 (例如在 AWS Fargate 上部署「無伺服器」容器),就應採取不同的資安思維,除了向上溯源、超前部署,還要環顧雲端四周,尋找各種契機來妥善保護雲端原生應用程式。喔,還有別忘了要往外看…

向上溯源

隨著雲端廠商開始將基礎架構、作業系統、容器協調都納入了他們負責的範疇當中,使用者最主要的責任就是保護容器以及應用程式本身。Trend Micro Cloud One™ 這套專為建構在雲端上的企業所打造的防護服務,就是為協助企業履行這項責任,讓開發 (Dev) 及營運 (Ops) 團隊建立更安全的軟體建構流程與執行時期環境。Cloud One – Application Security 可在應用程式內部嵌入一個資安防護程式庫,用來防範網站應用程式攻擊以及偵測惡意活動。

這項技術最大的優點之一就是,一旦具備了這項防護,不論應用程式部署在任何地方,其防護都能如影隨形。使用者可以很放心應用程式是安全的,不論部署在容器內、傳統主機上、AWS Bottlerocket 內執行的 EKS、AWS Fargate 無伺服器環境,甚至是部署成 AWS Lambda 功能!

超前部署


往好處想,雲端廠商現在都非常重視資安問題,並且提供越來越安全的環境讓您部署自己的容器,但您必須確定您的容器本身不會招來資安風險。這一點可透過容器映像掃描來達成,讓您在將映像上線到生產環境之前,預先發掘容器可能暗藏的資安問題。

此時,Cloud One 的 Deep Security Smart Check – Container Image Scanning 容器映像掃描就能派上用場。映像掃描除了要能偵測漏洞之外,還要能偵測其他問題。由於程式開發人員經常需仰賴一些重複使用的程式碼、公開分享的映像,以及第三方貢獻的程式碼,這意味著私人映像被注入惡意程式碼的問題確實存在。此外,容器映像當中若含有一些敏感的資料,例如:商業機密、金鑰、憑證,必須預先發現並加以清除,以符合 PCI、HIPAA、NIST 等等規範的要求。

環顧四週


想像一下,當您大費周章落實嚴格的資安規範來開發您的應用程式、容器及功能,並且部署至專為雲端環境最佳化的容器當中,結果卻發現竟然還是遭到駭客的攻擊。這到底是怎麼一回事?其實,一個經常被忽略的問題就是雲端資源本身缺乏確實的管理再加上組態設定不當,您不能因為一切都看似運作順暢就以為一切都很安全。


但是,確保雲端服務安全無虞是一件龐大的工作,動輒牽涉數十種雲端服務,每一種都有許許多多的組態設定選項,這使得環境變得相當複雜。Cloud One – Conformity 是您雲端防護的好夥伴,它讓您能確保任何潛在的雲端組態設定問題都能被偵測並依序解決。它提供了各種依據最佳資安實務原則的掃描規則,包括:被停用的資安選項、強度不足的金鑰、開放的權限、加密選項、高風險情況以及許許多多其他狀況,讓您輕輕鬆鬆就能達成最佳實務原則的要求,徹底發揮雲端服務廠商帶給您的效益。

往外看


這樣就完成了嗎?還不算。您還得考慮到雲端應用程式匯入檔案的流程 (萬一匯入的是惡意程式呢?)。企業通常會利用像 S3 儲存貯體這類雲端儲存來接受外部客戶或合作夥伴上傳的檔案。然而,盲目地接收上傳檔案,然後直接匯入您的工作流程當中,等於是為駭客大開方便之門。


Cloud One – File Storage Security 內含趨勢科技最優異的惡意程式偵測技術,可偵測並移除感染惡意程式的檔案。該服務本身就是一個雲端原生應用程式,因此可以很輕鬆地透過範本來加以部署,而且設定好之後就不用再管它,它會自動掃描任何類型、大小的新檔案,自動移除惡意程式,這樣您就能放心所有下游的工作流程都能獲得保障。

最終還是回歸到共同分擔的責任


未來,雲端廠商會不斷推出各種保障雲端原生應用程式安全的功能,而您該做的就是將這些功能全部開啟。但在您確實檢查過您的組態設定之前,千萬不要認為您的雲端環境已經達到最安全的狀態。當您有了一個安全的環境之後,您接下來就必須好好保護所有您能掌控的元件,包括您的功能、應用程式、容器以及工作流程。為了協助您做到這點,Trend Micro Cloud One™ 提供了 Network Security、Workload Security、Application Security、Container Security、File Storage Security 以及 Conformity 雲端資安狀況管理,來完美補強您的雲端服務,這樣一來,您的雲端就能從裡到外、從上到下、從左到右都確保安全無虞。

 

原文出處:What do serverless compute platforms mean for security 作者:Kyle Klassen,產品經理,趨勢科技雲端原生應用程式防護