何謂 IaC? 對資安長 (CISO) 為何重要?
「速度」是企業移轉到雲端上開發應用程式的主要原因,而且為了達到日益嚴苛的期限要求,許多營運開發 (DevOps) 團隊都轉而採用基礎架構程式碼 (Infrastructure as Code,簡稱 IaC) 來建立大量新的專案。但
何謂 IaC?
基礎架構程式碼 (IaC, infrastructure as code) 正如其名,就是將基礎架構的建立與管理工作變成一套程式碼,基本上就是利用一個範本來預先設定好基礎架構的組態,進而達到部署的一致性,讓應用程式開發更方便。相對於「舊時代」的作法,這算是一種演進,因為以往系統管理員都必須手動管理及設定應用程式執行時所需要的所有硬體和軟體。
IaC 的資安挑戰
IaC 之所以在雲端開發人員之間越來越流行,不是沒有原因,事實上有好幾個原因,包括:速度、控管、一致性等等。然而,任何與網際網路沾到邊的技術,都可能遭到駭客攻擊,這意味著 IaC 也會面臨一些資安風險。以下是就是最大的兩項挑戰:
1.複雜的環境以及法規要求
採用混合雲或多重雲端環境的企業,須面對一些獨特的挑戰,資安團隊通常缺乏必要的可視性來追蹤及管理各個不同環境和雲端廠商的 IaC 範本。
雖然 IaC 非常適合用來大量部署新的基礎架構,但這些範本的組態設定也必須符合相關雲端或企業內環境以及企業所在當地的法規要求。例如,如果一個開發團隊在歐洲、另一個在亞洲,那他們就不能使用同一個 IaC 範本,因為不同地區會有不同的安全法規必須遵循。
2.IaC 偏移
錯誤的組態設定不僅可能衍生法規遵循問題,還會造成偏移。IaC 偏移是指組態設定發生變化,與原先預先設定好的部署狀態不同,但 DevOps 和 SecOps 團隊卻不知道。這情況可能的發生原因是開發人員在部署到測試環境時修改了範本,然後要部署到營運環境時卻忘了更改回來。然而即使是最微小的範本修改,也可能讓駭客有機會入侵暴露在外的雲端資產。
解決 IaC 的資安挑戰
市面上確實有許多專門針對 IaC 安全而設計的產品,但是,額外增加一套單一面向的產品到您的資安環境,會進一步提高可視性的複雜度。因此,您最好尋找一套能解決多種資安問題 (包括 IaC 問題) 的全方位網路資安平台。這樣不僅一石二鳥,而且也減少麻煩。
不過要說服董事會花錢 不是一件容易的事,所以,請試著用他們的語言來解釋資安如何促進業務的發展。投資一套網路資安平台不僅可攔截威脅,更可建立一套 DevOps 文化來降低風險並發揮工作的最大效益,進而達成業務目標。
所以,在挑選一套網路資安平台時,應該注意哪些重點?首先,請注意該平台是否有一些可讓您更充分了解、溝通及防範網路資安風險的功能,並涵蓋有效資安策略的三個階段 (偵測、矯正、防範),而且不能影響或阻礙資安及開發團隊的運作。
階段 1:偵測
此一階段的目標是了解潛在風險,掌握您環境當中的「事物」及「人員」。您需要的是完整的可視性,讓資安團隊隨時掌握重大組態設定錯誤,關鍵在「重大」兩個字。這套平台應利用延伸式偵測及回應 (XDR) 功能來蒐集並交叉關聯來自 IaC 範本所有組成要素的資料,如此可降低誤判,並且讓資安團隊深入追查最需優先處理的問題。
階段 2:矯正
在這階段,這套平台應透過自動矯正功能來迅速修正組態設定錯誤,以減輕資安或開發團隊的負擔。可客製化的 API 與掃描後的處置動作,對於促進兩個團隊之間的合作溝通非常重要。請記住,這套平台不應被視為安全的守門員,反而該扮演提升風險管理效率的助手。
階段 3:防範
您當然不可能阻止網路犯罪集團「試圖」對您發動攻擊,但您可以讓這件事變得更難,進而降低相關的風險。請確認這套平台採取的是提前防範的理念,在 IaC 範本套用到營運環境之前預先執行掃描,好讓資安及開發團隊必要時能做些修改。掃描時也不能只是單純通知團隊有組態設定錯誤,而是要自動檢查範本是否符合相關的法規要求以及業界最佳實務原則。最後,請尋找一套具備回饋機制的平台,讓工程師能即時知道他們製作的 IaC 有沒有問題,這樣他們才能一邊調整一邊學習,不斷精進自己的技術。
如需有關網路資安平台如何協助您了解、溝通及防範風險的更多資訊,您可參考以下資源:
- 如何闡述雲端防護平台的商業效益 (How to make the business case for a cloud security platform)
- 為何 SecOps 需要一套網路資安平台 (Why SecOps needs a cybersecurity platform)