果核數位藉由第三方 CNAPP,加速實現跨雲與混合式資安管理

2024/10/14

現今企業上雲為大勢所趨,且其中最普遍的應用面向,已非單一朵雲,而是跨多雲或雲地混合;導致企業雲端環境日趨複雜,面臨安全性、合規性挑戰。果核數位產品經理陳學耕表示,因此企業必須採取安全現代化的方式或工具,方可減輕安全管理負擔、提升安全營運效率,


進而安心享受多雲或雲地混合應用的好處。而果核基於自身的應用與服務經驗,認為不論是「雲原生安全工具」或「第三方雲端原生應用程式防護平台(CNAPP)」之間的採用,都是邁向安全現代化的過程中至關重要的環節。


僅憑傳統工具,難以監控多雲安全性與合規性

陳學耕指出,關心公有雲趨勢的人,對 AWS 宣布 2025 年初在台灣開設新的 AWS 區域表示歡迎,AWS 亞太(台北)區域在發布時將包含 3 個可用區域(AZ),可提供完整的 AWS 服務,與AWS 早先推出的臺北 Local Zone 截然不同。這意謂不久之後,從合規面和低延遲性來看,對台灣用戶來說絕對是一大利多。


據 IDC 報告顯示,2022 到 2027 年期間,臺灣公有雲市場的複合成長率達 22.6%,預估 2027年市場規模上看 41 億美元。未來,加上三大公有雲落地台灣,及生成式 AI 應用熱潮,都是促使臺灣公有雲市場蓬勃發展的主因。


「隨著企業積極擁抱雲端,雲端安全挑戰將隨之攀升,」陳學耕說,從 ORCA Security 的雲端安全報告來看,不難發現許多令人憂心的情勢,大多數的雲用戶都有資安破口的問題,例如具有可被公開存取的雲資產或雲帳戶權限控管的問題。再看另一份由 Thales 所做的全球雲端安全調查報告,則顯示「人為錯誤是雲端資料外洩的主因」這個關鍵警訊。更值得一提,Gartner 估計到 2025 年,至少 99% 的雲端資安事件皆是「客戶的錯」,主要癥結源自人為造成的配置錯誤。


由此觀之,欲克服多雲資安管理挑戰,必須先減少雲平台內部的配置/設定錯誤,而雲原生安全方案正是有效的解決方案。因為雲端環境的管理難度高,譬如 AWS 平台上的每一個帳戶,GCP 平台上的每一個 Project,都有各自獨立的雲架構與服務;若以果核所服務的雲端客戶為例,都橫跨三大公有雲,且單一朵雲都具有多個帳戶或Project,單憑傳統資安工具,恐無法有效進行雲端安全管理。


面對如此複雜環境,果核採用現代化的雲原生資安方案,時時偵測雲環境的改動,包括上面做了哪些配置變更、誰做的變更、是否存在錯誤配置的可能性、整個環境是否合規⋯等等事項。為了協助客戶解決雲端安全管理困境與挑戰,果核訂定了「確保操作安全基準」、「持續性合規管理」、「持續性安全監控」三大安全管理目標,並基於這三個目標,依序訂定雲原生安全設定指引、第三方 CNAPP 自動化工具、SOC 雲端持續 7X24 監控與告警等安全策略。


善用 CNAPP,跨雲分析錯誤配置與漏

洞風險陳學耕進一步說明,果核制定的雲原生安全設定指引,首要就是雲平台的帳號權限安全,包括避免使用 Root 帳戶、使用強密碼、啟用多重身

分驗證(MFA)保護帳戶、善用 IAM 權限管理、最小權限原則,另外就是儲存體或重要服務不要直接對外公開存取,減少被直接攻擊面積,最後Hard code,程式碼和金鑰或憑證不要放一起,這很重要,卻也是常見的漏洞。


為滿足上述指引,果核先行評估了雲業者提供的各式安全管理工具,但體認到其中蘊含著諸多困難點,比方說雲技術人員須熟悉來自不同 CSP 的各種工具,須具備一定的專業門檻,且任何單一工具,都不足以全面達成三大雲環境資源的可見性。於是果核決定轉而採用第三方 CNAPP,期望藉由單一平台來整合安全性與合規性功能,有效防止、偵測及回應雲端資安威脅。


CNAPP 是基於 API 的 SaaS 平台,能補足雲原生安全工具的限制性,像是「缺乏跨雲安全管理的能力」、「無法涵蓋從開發到運行的保護」、「可視性和可控性不足」等等,而 CNAPP 能對雲原生多種日誌處理、分析和監控,可應用到雲SOC 資安監控。


至於果核如何推動雲地安全管理應用?陳學耕說,由於傳統雲地環境差異頗大,以致傳統地端SOC(SIEM)無法應付雲端環境的資安監控,必須以雲端原生工具為主,才能滿足雲端環境快速變化與海量的日誌。果核評估三種雲端 SOC資安監控的應對方式,都是將日誌在雲端處理分析,避免產生資料傳輸費用,其中之一的方式為Cloud SIEM,發現 Cloud SIEM 以資料量計費,


成本偏高,以某家 CSP 的 SIEM 平台而論,假設一天處理 300GB 日誌資料,一個月費用就高達98 萬元;有感於 Cloud SIEM 成本負擔過重,決定直接以 CNAPP 執行雲端 SOC 資安監控。


綜觀果核的雲地 SOC 資安監控中心,已同時針對雲地進行資安監控,以 CNAPP 作為雲端日誌的處理分析與偵測機制,再與選用的合規政策、最佳實踐做比對,若偵測到違反政策事件,便立即傳送Alert 或 Ticket 到 SOC 的 ITSM。另在稽核角度方面,CNAPP 已內建多種資安基準與合規性規則選項,可定期執行雲端資安健診和合規性檢視。


第三方雲原生 CNAPP 平台對雲端進行全方面的保護,以雲端的最佳實務(CIS/Well-Architect)偵測雲環境,涵蓋雲基礎環境、程式碼安全到運行的工作負載,簡化多雲的安全管理。


文章來源: https://www.ithome.com.tw/pr/163973

其他動態