簡介
雲端憑藉其獨特的靈活、創新與現代化方法,使我們能夠比以往更快地創新。這有助於全球應用程式開發人員採用新的技術來因應日益複雜的架構,運用雲端原生服務與多重雲端供應商來達成業務目標。
然而雲端的快速演進卻也帶來了新的風險,因此一套強大的資安策略就變得比以往更加重要。隨著企業擁抱雲端來為其企業開發新的應用程式並帶來更有競爭力的策略,企業也因而暴露於新的風險與漏洞,危及敏感的資料和營運。趨勢科技深知這些挑戰,因此不斷創新,推出了 Trend Vision One™ – Cloud Security 來提供一套全方位的資安功能以保護混合雲基礎架構。
這套頂尖的平台提供了全方位的雲端資安方法,讓雲端開發人員從開發到執行時期都能妥善保護其環境,配合其混合雲與多重雲端策略。
工作負載意外暴露在網路上是雲端資安普遍存在的一項問題。面對大量的雲端組態設定需要管理,以及大量的漏洞需要修補,使用者經常無法好好保護自己的敏感資訊。市場研究機構 Gartner 指出,從現在到 2025 年,有 99% 的雲端資安問題都將是客戶所引起。要解決這情況,我們必須全面掌握雲端動態環境的風險、組態設定錯誤、漏洞、威脅、預測攻擊路徑等各方面的可視性。
採用攻擊面管理來提升雲端可視性
具備無代理程式瞬間掃描功能的 Trend Vision One™ – Attack Surface Risk Management for Cloud (ASRM for Cloud) 能為企業提供必要的洞見來主動發掘及解決雲端風險以及潛在的漏洞。
在掃描雲端環境之後,ASRM for Cloud 能將掃描結果與我們的資料庫中的漏洞、組態設定錯誤、威脅等資訊進行交叉比對,然後計算出企業的風險評分。如此就能提供一種簡單、可量化、容易理解的方式來辨別風險並判斷其優先次序。
當雲端資安團隊需要更深入了解個別資產的風險狀況時,他們可深入查看每一資產的當前狀況與雲端資產關係圖,該圖會顯示有危險的攻擊路徑,顯示您雲端帳號上該資產的潛在攻擊半徑。
此功能可讓企業將工作聚焦在防範最重要的資安威脅,降低駭客攻擊得逞的機率和範圍。它能引導使用者執行矯正程序,讓企業隨時搶先資安威脅一步,有效守護雲端資產。
下圖顯示的是一部分的潛在攻擊路徑,這是完整評估風險優先次序之後的結果,它結合了所有風險因素 (從外部暴險到內部關鍵資產) 來顯示攻擊潛在的橫向移動路徑。
有些應用程式可利用 API 閘道來串連及整合,但這卻可能衍生組態設定錯誤以及缺乏安全認證的 API 端點。
對企業來說,要找出缺乏防護且公開暴露在外的 API 不是件容易的事,因為光是 API 閘道與 API 端點的數量就非常驚人,動輒上萬。
有了 ASRM for Cloud,客戶就能快速找出組態設定錯誤與缺乏安全認證的 API。
缺乏安全認證的 API 意味著使用者不需通過認證就能與它連線。在缺乏安全認證的情況下,任何人只要在網際網路上發現了這個 API,就能連上它而不需使用者名稱和密碼,進而存取未經授權的資訊,甚至可能入侵企業。
雲端風險與組態設定錯誤對於需要遵守主流資安框架 (如 PCI-DSS、HIPAA、HITRUST、NIST 800-53、GDPR、LGPD 等等) 的應用程式來說是相當頭痛的問題。ASRM for Cloud 的無代理程式掃描功能可持續監控您的雲端帳號,協助您發掘關鍵帳號與應用程式新的組態設定錯誤。
除此之外,趨勢科技研究機構 Trend Micro Threat Research 及其 Zero Day Initiative (ZDI) 近 20 年來提供了全世界最大的非限定廠商漏洞懸賞計畫。這使得我們擁有龐大的漏洞知識,並藉由虛擬修補與網路入侵防護 (IDS/IPS) 功能來保護客戶,協助客戶防止其營運環境內部含有未修補漏洞的應用程式遭到攻擊。
2023 年,在 Microsoft 發布的所有漏洞當中,有 20% 是由 ZDI 所揭露。正因為我們很早就知道這些漏洞,因此就能預先提供虛擬修補來保護我們的客戶,平均可比廠商正式釋出修補更新提早 96 天。
經由漏洞檢視,客戶就能輕鬆看到其對外連網的資產、容器、容器登錄以及雲端上執行的虛擬機器 (VM) 存在著哪些漏洞。
該檢視還能與第三方漏洞管理廠商整合來進一步強化,讓您完整掌握您混合雲應用程式漏洞的可視性。
除了主動防範風險之外,Cloud Security 還提供了一些預防措施來將資安融入開發流程當中。在部署之前預先掃描基礎架構程式碼 (IaC) 以及容器映像的漏洞和威脅,在開發流程的前期套用資安措施,如此有助於確保漏洞在源頭就已解決,降低營運環境發生資安事件的機率。像這樣將資安左移 (向流程前期移動) 的作法,不僅能提升安全,更能簡化整體開發週期。
強大的執行時期防護
在執行時期防護方面,Cloud Security 提供了全方位的執行時期防護,這一點對即時偵測及攔截威脅與漏洞非常重要。Cloud Security 能持續監控工作負載並立即回應潛在的資安事件,為企業提供一套強大的防禦機制來因應不斷演變的資安威脅。這樣的即時防護可確保企業能維持其雲端環境的完整性,並在資安事件發生的第一時間迅速加以回應。
上述架構正確示範了雲端營運該有的方式,那就是:開發、資安及營運團隊必須密切合作以發掘與矯正 CI/CD 流程的風險,以及容器叢集內執行的現代化應用程式的執行時期風險。
執行時期防護可監控任何新發現的漏洞,而且能在叢集內運作,它能協助偵測可疑活動,與 eBPF 整合來達成高效能的容器叢集監控。
結論
對雲端開發人員來說,能夠在雲端內安全地開發應用程式且不拖慢創新的腳步非常重要。隨著創新的腳步不斷加快,很顯然地,零散、各自為政的單一面向產品再也無法跟上這樣的腳步。一套具備攻擊面及漏洞管理功能、強大的第三方整合、威脅情報更新,並且內建執行時期防護的雲端資安平台,對於達成資安與業務目標無比重要。
如需有關 Cloud Security 的更多資訊,請點選此處。