果核基於深厚實務歷練,揭露雲端資安進階防護心法
回顧公有雲發展,從2006當年AWS先後推出S3和EC2,使得Pay-as-you-Go的IaaS服務模型就此底定;爾後隨著時間推移,雲端服務更趨多元豐富,舉凡IoT、大數據、資安、5G邊緣運算、AI/ML…等資源應有盡有,為企業營造極為便利的應用環境。
果核數位產品經理李仲哲,援引Gartner於今年(2022)四月發布的報告指出,2020年全球公有雲支出金額約2,700億美元,但2022年已大幅增長至近5,000億美元,預估2023年更上看6,000億美元大關。深究其因,在於近年隨著疫情肆虐,迫使全球企業加速推動數位轉型,對公有雲的依賴度急遽攀升所致。儘管雲端服務對於企業落實數位創新、駕馭龐大的數位資料量、削減地端IT隱藏成本…等等,確實功不可沒,但同時使用者對雲端服務的管理疏忽也常造成意外的資料安全問題,也引發更多駭客覬觎,導致網路犯罪案件數量迅速增加。
李仲哲說,果核的母公司遊戲橘子擁有眾多子公司,彼此獨立營運,有的將資訊系統從地端搬遷上雲,有的直接誕生在雲原生環境,造成整體雲端應用環境趨於複雜,亦曾面臨資安防護的壓力。果核數位於集團資安的方向設定,依據「確保操作安全基準」、「持續性合規管理」和「持續性安全監控」等三大管理目標施展具體規劃,讓集團內企業得以遠離資安威脅;相關經驗值得其他企業參考。
藉由雲原生安全設定指引,奠定雲地操作關鍵基準
談到果核數位如何落實上述管理目標,從而形成雲原生資安保護策略,李仲哲分享箇中做法。他表示,雲端資安推動的第一個工作,係以公有雲上的應用系統及資料為核心,訂定「雲原生安全設定指引」,作為確保雲地操作安全的關鍵基準。
緊接著規劃使用第三方CNAPP(Cloud-Native Application Protection Platform雲原生應用保護平台)自動化工具,執行大量Routine稽核作業,藉此實踐持續性合規管理的必要目標。更重要的,果核承襲原本在地端維運SOC中心的深厚歷練,將SOC與雲端安全資訊進行整合,透過安全分析與檢核作業,建立高效率的異常監控及24/7告警機制,得以迎合持續性安全監控的管理目標。
「在雲端服務操作的『雲原生安全設定指引』裡頭,蘊含七個至關重要的實務重點。」李仲哲說,其中頭號關鍵在於避免使用Root帳號;許多工程師習慣擁有超大權限,因此非常愛用Root帳號,然而一旦讓這個帳號淪落駭客之手,就可能衍生毀滅性結果。因此他呼籲,不妨將Root Account視為初戀情人照片,在它設定完IAM的Admin後,就「收到抽屜裡藏好」,千萬別拿出來讓妻子看到,只因後果真的不堪設想。
其餘六項要點,依序是務必採用強密碼,啟用多種身分驗證(MFA)來保護帳號,善用IAM權限管理,採取最小權限原則,莫將金鑰或憑證/程式存放在一起,以及避免將Bucket/重要服務直接對外開放,譬如千萬不要輕易對外開放22埠或3389埠,若非開不可,最起碼必須限制來源,否則駭客可以直接對不設防的系統登堂入室,這類悲劇真的屢見不鮮。
至於如何實踐前述七大要點,李仲哲認為應當多加利用雲原生工具,以AWS環境為例,即有CloudTrail、CloudWatch、Config等基礎工具,甚至還有Amazon GuardDuty、Amazon Inspector或AWS Security Hub等進階工具。若是GCP環境,也有許多工具如Cloud Audit Logs、Cloud Asset Inventory、Cloud Monitoring和Security Command Center可供使用。
儘管這些雲原生工具,都可望協助企業優化雲端管理,但他坦言公有雲的安全問題依然層出不窮。深究其因,在於企業上雲時的盲點,包括以資料中心為主的架構思維上雲、對公有雲架構管理不夠熟悉、資安思維未跟上IT技術的進步,以及最令人無可奈何的,良好訓練的雲端工程師相對缺稀。
活用CNAPP自動化工具,破解棘手的容器安全威脅
雲端服務的大量運用容易產生配置錯誤的安全漏洞,唯今之計,建議企業深入理解CNAPP的內涵,對於雲端資安的防護,將可有效提升。Gartner定義CNAPP分三大面向,包括CSPM有助提升對雲工作負載的可見性及漏洞的識別,CWPP提供以工作負載為中心的防護,CIEM可管理人員或非人員身分權限的安全風險。此外CNAPP亦可提供多數企業相對不嫻熟的Container Scanning、IaC Scanning,乃至於具備跨雲部署管理、從開發到運行的保護等要素,故十分適合用於保護雲原生應用。
大致上來說,CNAPP透過直覺式儀表板揭露監控資訊,足以形塑「持續的合規性檢查修正」利基,能幫助企業減少錯誤配置,連帶減少受攻擊面。在容器安全上,可以有效找到容器的安全問題,如「容器Image的函示庫漏洞」、「惡意第三方容器Image」等容器安全威脅。另一方面也能透過Code Scanner之類機制,促使CI/CD Pipeline與Shift Left整合,使企業順利實現DevSecOps目標。
因應雲端資安的防護,除了建立標準安全操作與導入CNAPP自動化工具外,由SOC團隊(資訊安全維運中心)整合納管雲端服務的資安,藉由資安分析與監控團隊統括雲端環境的安全態勢,平時就能對雲端環境的安全給予調整建議,更能達成24/7小時的安全監控與即時通報。
總括而論,果核憑藉參與遊戲橘子集團雲端資安建設的經驗累積,不僅能提供雲端資安最佳實務、CNAPP、SOC、人員安全意識(社交工程演練)等專業服務,亦能供應Shift Left DevOps(含CI/CD整合、源碼檢測)、Runtime保護(含EDR、特權帳號管理)、應用程式安全(含弱點掃瞄、滲透測試)等解決方案,協助廣大企業養成雲端資安進階防護力。