後端基礎架構是企業應細心守護的一項企業關鍵資產,因為一旦遭到入侵,很可能將引發供應鏈攻擊。
資安是每家企業在 採用與移轉至雲端技術時都必須考量的重要一環。企業必須優先保護的資源包括:網路、端點及應用程式。此外,還有一項企業應該細心守護的關鍵資產就是後端基礎架構,因為一旦遭到入侵,很可能將引發供應鏈攻擊。
企業通常都會採用端點防護與網路防護產品來保護後端環境的伺服器以及負責儲存與處理大量寶貴資料的內部系統。為了盡可能節省成本,有些企業會將後端基礎架構移轉至雲端,或者採用雲端式解決方案在企業內架設私有雲。
不過這樣的作法要非常小心謹慎,才不會讓企業暴露在駭客攻擊的風險中,例如之前發生的多起導致營運中斷、財務損失及商譽損失的供應鏈攻擊。在「雲端運算時代的供應鏈攻擊:風險、如何防範,以及確保後端基礎架構安全的重要」(Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends) 一文當中,我們列舉了各種我們分析過的資安風險,並提出幾項防範技巧給 DevOps 參考,尤其是關於 Jenkins、Docker、Kubernetes 以及 AWS Cloud9 與 Visual Studio Codespaces 等雲端整合開發環境 (IDE)的問題。
Jenkins
後端系統的預設組態設定,即使是在認證啟用的狀況下,還是會帶來相當大的資安風險。軟體開發團隊經常用到的開放原始碼自動化伺服器 Jenkins 就被發現有這樣的風險。