著眼於企業應用系統正在演進到微服務架構,以持續整合/持續發布(CI/CD)流程來實現快速的產品迭代,勢必須搭配適合的資安防護機制與確保法規遵循。趨勢科技打造Trend Cloud One解決方案,擔綱雲端原生應用保護平台(CNAPP),幫助開發人員、DevOps與資安團隊掌握可視性、了解影響業務的風險,以及防範威脅。
趨勢科技技術總監劉家麟觀察,雲端應用趨勢在台灣,目前正處於系統遷移階段,著重在將傳統伺服器虛擬機轉向容器。雖然公有雲平台提供了一個與地端相似的運行環境,多數企業卻仍習慣自行建置Linux和容器環境,並運用Kubernetes輔助執行管理,而非直接採用雲端原生的Kubernetes環境如AKS、EKS、GKS等。技能落差或許是因素之一。
劉家麟說明,在雲端原生應用開發環境中,真正的擁有者和使用者是開發人員,而非IT人員。這是一段全新的技術旅程,開發人員需要學習新技術並投入時間來補足技能落差。對於資深IT人員來說,雲端架構較新,因此越是資深的人員,越可能感受到跨入雲端世界的難度。台灣企業的既有應用系統架構轉向雲端原生,還需要更多時間和投入技術人力培訓,才可真正發揮效益。
掌握技術架構以運用發揮效益
既然雲端原生應用已成為無法扭轉的趨勢,企業或可借鏡其他先進者的經驗,規劃與執行雲端原生應用發展,以確保數位化營運業務的安全性、可用性與成本效益,並且降低維運複雜度。
劉家麟以自家公司舉例,趨勢科技最大的應用服務需求是提供病毒碼更新。以往自建部署模式,須準備大量的硬體資源,來因應服務需求的變動。因此有半數以上時間皆有許多硬體資源為閒置備用狀態,只為了在惡意病毒爆發時有足夠資源提供用戶端下載更新。病毒碼更新服務改為雲端原生應用後,不僅提高了底層資源的成本效益,同時可較以往更彈性、快速地擴展應用服務,就算發生瞬間爆量的連線存取,也不至於出現效能瓶頸。
就系統維運來看,雲端原生與遷移上雲,差異在於系統架構的變更。劉家麟說明,傳統單體式系統架構要變成分散式的微服務架構,須先行拆分執行程序,部署到不同的獨立運行環境。對於DevOps團隊的維運工作而言,藉此保障了系統的高可用性,不再因特定功能模組執行修補更新,而讓整個應用服務暫停。
識別與控管風險 免於演變成威脅
欲發揮雲端原生應用的成本與程式功能維運效益,前提是DevOps團隊懂得運用,否則恐花費更多成本。至於資安風險控管,劉家麟觀察,對於正在發展數位化的企業而言大多已意識到其必要性。
過去大家普遍不重視資安、也不了解資安的價值,要是在現有IT環境中部署資安控管機制,可能影響原本順暢運行的系統或工作流程,經常因此遭到排斥而棄用。自從攻擊者發動病毒碼滲透的目的以獲取利益為主,開始以無所不用其極的手法建構商業模式,例如開發勒索軟體迫使企業支付贖金、竊取機密資料到暗網變現等方式,才讓企業與組織正視資安議題。
當應用系統開始演進雲端原生,多數企業已具備資安觀念,更有機會從初期就把安全性機制納入到軟體開發生命週期,可減少上線運行後額外增添控管措施帶來的影響。尤其是雲端原生應用環境,不只有底層基礎架構的資安風險,更牽涉到開發過程中的安全檢測、風險緩解,也就是偵測與回應機制。
「威脅是從風險而來。因為風險無法準確的識別、控管不當等因素轉變成威脅,須搭配防護與回應機制來加以攔阻。意味著強化風險控管能力,有助於減少爆發資安事件。這正是CNAPP方案強調的資安左移理念。」劉家麟說。不僅從軟體生命週期初期的程式碼撰寫階段就納入安全性考量,後續的建置、部署階段,皆必須有能力識別風險。若能夠在軟體生命週期的開發階段就找到風險並予以排除,便有機會從根本的漏洞問題降低攻擊威脅。
如果雲端原生應用在最後的容器部署階段增添防禦機制,其實就跟過去上線後增添防護的概念相同,可專注用於阻斷新產生的已知攻擊活動。若為未知型態,則須仰賴偵測與回應機制,持續分析與調查存取行為,及時處理高風險的活動,以免爆發資安事件。
自動執行資安檢測降低開發者負擔
撰寫程式碼功能性,可說是開發人員的績效指標,其他的事情對開發人員來說都不重要,因為重點是應用系統功能可用性、按時發布上線。因此針對資安相關的控管工作,應有一套解決方案以簡化的機制讓開發人員可易於運用。例如資安機制須持續檢查開源套件或容器映像檔案是否潛藏惡意程式、組態配置不當等風險,一旦發現將立即通知開發者進行修正,完成檢測後才可發布。
趨勢科技研發的Trend Cloud One,控管範疇從開發到上線運行環境的工作流程,都會自動化執行檢測,以即時發現風險進而修正。劉家麟進一步說明,Trend Cloud One強調的是自動化執行資安檢測。比如說開發人員執行持續整合/持續發布,可能是利用Jenkins工具輔助。當開發人員把基礎架構即程式碼(IaC)遞送到Jenkins時,可先行送到Trend Cloud One自動化執行檢測,並且指出問題所在與修正指引。
Trend Cloud One運用API整合雲端原生應用生態系的技術,開發人員可利用熟悉的RESTful API整合慣用的技術,在任何環節執行風險檢測。Trend Cloud One可發現環境設定配置缺失的風險,例如AWS提供的S3雲端儲存空間,開發人員提交的基礎架構即程式碼檔案,可能是從開源社群下載參考樣本再經調整修改的版本。萬一原始樣本檔案描述開啟一個公開存取S3 Bucket的設定,開發人員並未發現,經過檢測機制即可找到此風險,並且提醒予以修正。
若開發人員未經過系統整合就直接發布,Trend Cloud One亦會針對Runtime環境持續監控,可藉此察覺S3 Bucket被開啟且為公開存取的權限,此時將觸發事前設定的控管政策規則,自動執行修改調整,以即時關閉公開存取的設定,避免衍生資安事件。