受新冠狀病毒(COVID-19,俗稱武漢肺炎) 的影響,全球企業都急於將資源和基礎架構移轉到雲端,而這也使得企業的受攻擊面從企業內部轉移到了雲端。
受 Covid-19 疫情的影響,全球企業都急於將資源和基礎架構移轉到雲端,而這也使得企業的受攻擊面從企業內部轉移到了雲端。然而急就章的同時,卻也帶來了一些 IT 資安部門從未面對過的受攻擊面。雖然 IT 資安部門已經知道如何保護企業內 DevOps 團隊的應用程式開發與發布作業,甚至是將準備上線的服務和容器發布到雲端。但當整個應用程式建構流程都全部移轉至雲端時,資安團隊卻不一定了解相關的資安風險。
最近出現了一個新型的 Linux 惡意程式叫作「DOKI」,它會攻擊各主要雲端廠商對外公開的 Docker API。駭客使用一個之前發現的漏洞攻擊技巧來入侵容器環境,但有關 DOKI 惡意程式的文獻記載卻是直到最近出現。
繼續閱讀DevOps 一詞是開發 ( development) 跟營運 (operations) 兩個字的合體,涵蓋各式各樣的工具與獨特的文化內涵,其主要目的在於協助企業簡化軟體或應用程式的交付週期以提升其品質、安全與擴充性。
DevOps 的概念最早是在 2008 年由 Patrick Debois 所提出。對於當時正擔任系統管理員的 Debois 而言,DevOps 反映了他當時必須兼顧應用程式開發團隊與管理基礎架構 (如伺服器、資料庫及網路) 營運團隊產能的狀況。
從事應用程式開發、測試、部署及監控的 IT 團隊,傳統上都各自為政。換句話說,他們的角色和功能都有明確的劃分且相當零散。DevOps 希望能打破各個 IT 團隊之間的藩籬,將其工作簡化成連貫的作業。
許多企業對於雲端環境、雲端供應商以及如何確保雲端安全,都抱有一些錯誤的認知和想法。所以我們特別製作了以下這份圖文解說來協助您了解,關於雲端環境,哪些是事實,哪些只是迷思。
了解有關企業資料移上雲端的一些迷思和真相,希望您看完之後能更有信心邁向雲端之路。
真相:雲端的運作基本上雲端廠商與企業客戶雙方都有責任,這一點對任何雲端作業都一樣,當然也包括資安在內。就雲端運算實體 (instance) 而言,雲端供應商的責任在於底層基礎架構,而企業客戶的責任是基礎架構之上的作業系統和應用程式的所有組態設定、維護與安全。
繼續閱讀
趨勢科技非常開心能夠推出新的產品:Trend Micro Cloud One™ – Conformity 來強化 Azure 雲端資源的防護。
每當有新產品發表,我們總是有很多新的訊息要跟大家分享,因此我們專訪原 Cloud Conformity 公司創辦人 Mike Rahmati 來跟大家分享他的看法。Mike 骨子裡是一個科技人,對於透過雲端、開放原始碼以及靈活、精實原則來提供動態容錯、成長及擴充的軟體系統開發擁有輝煌的成就。在專訪中,我們請 Mike 說明新產品的功能如何協助客戶預防 Azure 上的組態設定錯誤,並且輕鬆矯正這些錯誤。讓我們來仔細瞧瞧。
企業在 Azure 或 Amazon Web Services (AWS) 上開發應用程式或將應用程式移轉至這些平台時,經常會遇到哪些問題?
繼續閱讀
所謂的特權容器 (privileged container),簡而言之就是 Docker 環境中擁有主機完整系統權限 (root) 的容器,它可存取一般容器無法存取的資源。特權容器的用途之一,就是在 Docker 容器當中執行另一個 Docker daemon;另一個用途就是當容器需要對硬體進行直接存取時。原本,在 Docker 中執行 Docker (也就是所謂的 Docker-in-Docker) 的用意是為了開發 Docker 本身。但今天,特權容器已經出現各種不同的使用情境,例如在開放原始碼自動化伺服器 Jenkins 當中將持續整合/持續交付 (CI/CD) 工作自動化。然而,執行特權容器卻可能帶來安全上的疑慮。以下我們將詳細說明,執行一個擁有特權但卻不安全的容器,如何讓網路犯罪集團有機會在企業的系統當中植入後門。
一般來說,使用 Docker-in-Docker 是為了在現有容器當中再執行另一個容器。不過,使用一個缺乏安全的特權容器,可能會引發一些嚴重問題。
繼續閱讀