趨勢科技非常開心能夠推出新的產品:Trend Micro Cloud One™ – Conformity 來強化 Azure 雲端資源的防護。
每當有新產品發表,我們總是有很多新的訊息要跟大家分享,因此我們專訪原 Cloud Conformity 公司創辦人 Mike Rahmati 來跟大家分享他的看法。Mike 骨子裡是一個科技人,對於透過雲端、開放原始碼以及靈活、精實原則來提供動態容錯、成長及擴充的軟體系統開發擁有輝煌的成就。在專訪中,我們請 Mike 說明新產品的功能如何協助客戶預防 Azure 上的組態設定錯誤,並且輕鬆矯正這些錯誤。讓我們來仔細瞧瞧。
企業在 Azure 或 Amazon Web Services (AWS) 上開發應用程式或將應用程式移轉至這些平台時,經常會遇到哪些問題?
最常見的問題就是市場上可選擇的工具和雲端服務很多,而企業所要的工具必須能夠整合至雲端內來提供可視性。影子 IT (Shadow IT) 的問題,還有業務單位自行註冊雲端帳號,對 IT 部門來說是一項管理上的真實挑戰。
法規遵循、資安及企業治理方面的管控,對於全心全意投入創新的業務單位來說,並非是他們最關心的事。這就是為何您應該擁有一套強大的工具來提供您雲端環境的可視性,告訴您哪裡有潛在的資安與法規遵循風險。
AWS 平台常見的一項組態設定錯誤就是 Amazon Elastic Compute Cloud (EC2) 設為開放,或是 IAM 政策設定錯誤。那麼 Microsoft 平台常見的問題又是什麼?
其實跟 AWS 上看到的組態設定問題蠻像的,我們在產品預覽階段看到許多客戶都犯了和 AWS 上類似的組態設定問題。例如,Microsoft Azure Blobs Storage 大致上就是 Amazon S3,而這就是組態設定問題的常見來源。
據我們觀察,客戶所犯的組態設定錯誤主要在兩個部分:Firewall 和 Web Application Firewall (WAF)。後者就如同 AWS WAF,而前者 (Firewall) 差不多就等於是 AWS 的網路組態設定,提供對內非 HTTP 流量的防護,以及所有連接埠和通訊協定的網路防護。
很重要的一點是,這項防護的基礎來自於 100 項最佳實務原則以及目前我們在 Azure 上所支援的 15 項服務,未來數量還會再繼續擴充。至於 AWS,我們已經建立了 600 多項最佳實務原則,並提供 70 多種自動矯正控管功能。
您可以說明一下 CIS Microsoft Azure Foundations Benchmark 嗎?
我們很高興能夠支援 CIS Microsoft Azure Foundations Benchmark。CIS Microsoft Azure Foundations Benchmark 內建了以下幾個領域的自動化檢查與矯正建議:身分與存取管理 (IAM)、資安中心、儲存帳號、資料庫服務、記錄檔與監控、網路、虛擬機器以及應用程式服務。此架構內含 100 多項最佳實務原則,而我們也建立了一些規則來檢查這些最佳實務原則是否落實,協助雲端開發人員避免自己的 Azure 環境出現風險。
您是否可以稍微談一下 Microsoft Shared Responsibility Model?
Microsoft 提出的共同分擔責任模式,其實跟 AWS 非常類似。雲端「本身」的安全是 Microsoft 的責任,但雲端「內部」的安全則是客戶自己的責任。Microsoft 生態系目前正急速成長,而且有許多的服務都需要您真正了解其運作才能正確設定。但如果有 Conformity,客戶就只需知道如何根據最佳實務原則來正確設定核心的服務,接下來就交給我們幫您處理。
是否可以舉例說明一下所謂共同分擔責任的實際情況?
好,想像一下您有一個 Microsoft Azure Blob Storage,裡面儲存了一些敏感資料,結果有天某人不小心將這個 Blob Storage 設為公開。客戶很可能無法忍受有一小時、兩小時、甚至好幾天的時間讓您慢慢修復這個資安缺口。
所以,Conformity 能在幾分鐘之內就通知您這個危險的狀況,並提供矯正的建議,因為我們的 AWS 檢查能設定一些自動矯正動作。自動矯正非常有用,因為它能近乎即時地解決客戶的資安缺口。
下一步該做些什麼?
我覺得不論您的雲端是否才剛開始成形,或是您已經移轉到一半,或者您已經在雲端上執行一些複雜的工作負載,我們都能提供您所需的協助。藉由持續的雲端資安與法規遵循狀態管理,您就能徹底掌握您基礎架構的狀況。所有吃重的工作都交由我們來幫您打理,您只需專心創新與成長。此外,您也可跟我們的團隊接洽,幫您安排一次免費雲端健檢。我們的雲端工程師都非常樂意幫您的 AWS 與 Azure 做一次健檢,看看您的雲端基礎架構是否安全、符合法規、且穩定可靠。只要 10 分鐘,您就能知道自己的風險有多高?
您覺得建立一個向流程左側移動的資安文化是件好事嗎?
是的,我們已協助過客戶在 AWS 上做到這點,而且非常成功。我們一直鼓吹將資安越往流程的左側移動越好,而這也是我們能夠協助客戶建立資安文化的地方。現在雲端客戶都在試圖將資安建置在開發流程的更早期,因此他們需要一些工具。Conformity 是一個專為導入 DevOps 或 DevSecOps 的客戶所設計的工具,能協助客戶建立向流程左側移動的資安文化。
我們將 Conformity API 與客戶的 CI/CD 流程整合,協助客戶將資安左移。此外,該產品也提供了預防性控管,並提供了 API 與範本掃描功能。我們協助客戶將資安左移的目的是為了預先發掘組態設定問題,甚至在實際部署到生產環境之前。
除此之外,我們也能在基礎架構程式碼範本部署至雲端之前預先加以掃描。客戶需要一套能融入他們 CI/CD 流程的工具。想要向左移,並不是只靠一套報表工具就能搞定,而是要一套能將資安向流程左側移動的工具,而這正是我們 Conformity 能協助您的地方。
原文出處:Knowing your shared security responsibility in Microsoft Azure and avoiding misconfigurations