果核攜手Check Point，提出業界最完整的雲端資安攻略

2023/10/23

進入後疫情時代，企業為加速數位轉型，以致上雲比例攀升；惟此時駭客緊跟在後，探尋企業是否出現安全漏洞與人為疏失，藉以發動攻擊。為此果核數位日前攜手Check Point舉辦「雲端資安轉型攻略」研討會，探討如何確保企業在雲上的應用獲得全面防護，在資安無虞下推動業務創新。

果核數位副總經理黃景星致詞表示，此次討研會由KPMG安侯企業管理執行副總邱述琛發表開場演說，闡述雲端資安導入機制與流程。接著由果核數位產品經理Ryan Lee分享果核數位建議企業在雲端資安的佈局策略，並說明為何選擇與Check Point合作。最後由Check Point大中華區雲端資安架構師Zen Chan擔任壓軸講師，闡釋如何藉由企業風險管控角度來確保雲端安全。

善用整合性工具，管控複雜雲環境

KPMG執行副總邱述琛強調，現今是臺灣雲端發展的佳機，首先因所有新興科技當中、雲技術是相對最成熟也最能協助企業獲利的選項之一；其次國內有許多法規開始鬆綁；再來ISO 27001改版中，也將雲端資安納入其中，驅使企業或政府採用雲端服務時必須落實相關規範。

有關ISO 27001改版中的5.23雲服務資訊安全；其影響範圍並不限於雲服務安全，還涉及雲端的威脅情質與實作面的資產盤點、風險評估等眾多議題，需要進行ISO 27001轉證的企業或機構，將有許多工作亟需完整規劃與執行。此外烏俄戰爭也是催化企業上雲風潮的觸媒，讓企業意識到不僅需要執行核心資料的雲備份，也要有能力在雲上重新組建核心服務，企業可參考「小核心、大周邊」的概念重新建構未來的新技術架構，建立更具競爭優勢的服務。

上雲之路固然充滿機會，亦將遭遇風險，在企業上雲之際，在技術改變、系統移轉、及資料遷移的多重挑戰下，可以預見企業未來的營運環境經更為複雜，只靠人來管理是不可能的，必須採用一些整合性管理工具。總之今後2~3年將是臺灣雲服務的黃金時期，多數企業都將開始擁抱雲技術，藉此提升營運效率、掌握競爭優勢；在此同時，若也引進適當的管理工具，逐一落實API、QoS、自助服務、協作、流程、服務管理、身分識別、合規性…等控制目標，將可有效降低風險。

引用CNAPP概念，落實雲原生應用安全保護

果核的產品經理Ryan Lee，以「保護雲原生應用的安全策略」為題分享雲原生資安規劃。他強調現在「企業上雲」已成顯學，據Gartner預估，2023年公有雲營收上看6,000億美元，較2022年的4,903億美元大增20.7%。而雲端承載的海量資料，已經超過地端的資料量。企業藉由資料上雲並運用公有雲平台進行分析、挖掘新商業模式，但這些數據寶藏也受到有心人士覬覦。

因此隨著雲的成長，也帶動CVE數量走高，從2011年之前每年6,000個不到，增至2017年過後動輒1.7萬起跳，幅度嚇人。據統計，綜觀整個攻擊面威脅，本地部署僅佔20%，另80%落在雲端，其中外洩憑證與雲端配置錯誤並列最大攻擊來源。

Ryan Lee指出，基於這些問題，果核數位積極思考如何制定雲原生應用安全策略幫助企業客戶，首先要求工程師及營運單位同仁遵循雲端原生安全設定指引，確保有一致性的安全準則；其次透過CNAPP自動化工具進行雲環境管控，推動持續性合規管理；最後整合SOC雲端持續異常監控與24/7告警，達到安全監控效果。

針對重中之重的CNAPP雲原生保護策略，果核期望透過單一入口，執行跨雲管理，綜覽所有雲環境狀態，且能持續做到自動化分析，幫助管理者理解當前雲的組態風險，避免因人為疏失而釀成後患。經過評估，果核數位採用Check Point的CloudGuard平台，只因它具備從原始碼到雲端動態的完整保護機制。從雲端權限檢核、雲端資產盤點暨持續合規評估、無代理的VM環境掃描以及K8s環境防護等完整CWPP（雲端工作負載保護平台）機制；另提供雲原生原碼檢核功能，並結合情資中心、WAF及防火牆構築雲端網路安全組合，讓整體架構不會停留在CNAPP預防層次，進一步做到威脅阻斷。

落實四步驟，有效控制雲端安全風險

Check Point大中華區雲端資安架構師Zen Chan，從風險管理角度來詮釋講雲端安全。他表示雖然市場上有許多不同資安工具，但企業若同時部署過多，恐導致重複警報疲勞，對處理安全問題並無助益。2023年最需關注的雲安全議題有兩項，一是供應鏈攻擊，另一是憑證洩漏，Check Point CloudGuard的用戶其實都可以輕易做到威脅預防、資料保護、減少配置錯誤，有效消弭上述兩大風險。

大致上來說，Zen Chan認為要想落實雲安全，須依循幾個關鍵步驟。首先是「有效的風險管理」，為此Check Point提供獨步業界的ERM（Effective Risk Management）功能，結合清晰可見的Context Graph攻擊路徑分析圖，引導管理者聚焦防護重點，不再追逐警報。其次是透過Check Point雲端防火牆，主動將地端安全政策拉至雲上施行，並結合IaC實現自動建立、配置、升級與擴展防護能量，另藉由AppSec WAF準確攔阻惡意攻擊。

再來是「天生安全應用」一來借助CloudGuard Spectral實現「安全左移」（Shift-Left），提前發動原碼檢測，二來透過AppSec虛擬補丁功能，有效防禦零日攻擊。最後「增加安全視角又不拖垮開發流程」，仍以Spectral為核心，可結合開發者的工作場景如Git Merge、Git Pull等等，自動在後台執行掃描，讓開發者無需下任何CLI，便能經由Spectral及早發現諸如配置錯誤、憑證洩漏等潛在風險，隨即修正，讓企業CI/CD Pipeline更加純淨無害。

總括來說，工欲善其事、必先利其器，企業可運用果核與Check Point提供的跨雲整合資安解決方案，讓大家安全的使用雲服務達到創新轉型目標。

文章連結: https://www.ithome.com.tw/pr/159386