CSPM与CWPP搭配巩固云平台运行安全

了解企业在COVID-19疫情期间如何管理网路安全,Check Point在第一季时针对全球271位客户进行问卷调查,结果显示,超过86%的受访者认为疫情期间最大挑战是启动大规模居家办公模式,首当其冲的是VPN使用量大增,让IT人员措手不及,其次是防止社交工程攻击(47%),尤其4月份可说是攻击的最高峰,平均每天可侦测到2万次,其中有94%为钓鱼邮件。

 

非固定式的工作场域,只要使用者警觉心不高,很容易被钓鱼邮件精心设计的内容吸引点选开启。

Check Point资安传教士杨敦凯指出,已经讨论许多年的数位转型,随着疫情全球大流行后加速进程,更积极采用云端服务、敏捷式开发模式来发展应用系统。因应数位化商业模式的增长,外部威胁的攻击手法势必将变得更多样化,Check Point发布最新的Infinity Next安全防护框架,即是要为数位化应用的云端与终端建立无所不在保护措施。

保障虚拟主机与容器环境运行安全

针对云端安全控管机制,Check Point CloudGuard云服务整合了Gartner所谓的CSPM(Cloud Security Posture Management,云端安全状态管理)与CWPP(Cloud Workload Protection Platform,云端工作负载防护平台)功能,让虚拟主机与容器环境的工作负载,包含执行程序,都有可视化能力与自动化防护,降低错误配置、漏洞等资安问题。

针对Workload防护,Check Point是基于CloudGuard Posture Management与Workload共同为云端平台上的应用服务建构防护框架。(资料来源:Check Point)

杨敦凯进一步说明,CloudGuard Posture Management服务属于CSPM领域,以2018年收购取得的Dome9技术为基础设计,可自动化扫描检查云端原生应用服务的合规性,确保符合HIPAA、PCI-DSS等标准规范要求;另一方面,Check Point也已整合了新收购取得的Protego无伺服器(Serverless)安全技术,成为CloudGuard Workload(工作负载)防护服务,则属于CWPP领域,可加入到持续整合/持续交付(CI/CD )的Pipeline,基于机器学习与深度学习演算分析来建构正常执行程序的行为模型,以侦测并及时拦阻应用层的攻击。

既有地端安全闸道器再进化

对于正在数位转型路上的企业,不同阶段都有安全挑战必须克服。

杨敦凯观察,当下许多企业已经把关键应用系统的前端虚拟主机迁移到云端平台,首先担心的是网路传输安全性,攻击者可能藉由外部介接环境渗透进入,包含存取用户也是潜在破口。其次是当IT环境正式演进到混合云架构,企业内部DevOps团队开始采用公有云平台提供的服务发展新商业模式,不仅须确保地端资料中心的核心业务安全无虞,同时要兼顾部署在云端平台的服务不至于遭受攻击成功。

Check Point除了积极拓展云端安全服务,地端的资安机制亦有斩获,日前发布的Quantum安全闸道系列,采用最新型号的CPU运行Maestro丛集架构,随时大规模扩展可让防御效能提升到1.5Tbps,让地端也能具备如同云端平台的弹性扩充性机制。

之所以会有这样的效能,以Hyperscale技术分流Session可说是重要关键,Maestro控制器会依照安全群组统一分派丛集环境的成员执行任务,若其中一台设备离线,工作会由其他成员接手,在不断线的状况下依据应用需求增减。前述的安全群组配置,可依据办公室、营运业务等应用场景区分,若新服务上线发生流量暴增时,资源亦可动态调整因应,实现敏捷且弹性地因应业务需求动态改变。

掌控IaaS与PaaS状态防恶意渗透

以整体云端应用模式来看,巩固工作负载安全性才可降低服务因为漏洞、人为疏失等因素导致中断的风险。对此,Check Point运用CloudGuard Posture Management与Workload共同为云端平台上的应用服务建构防护框架。Workload着眼于程式码、Runtime环境的安全;Posture Management则是在IaaS层进行持续监控,两者相辅相成。云端平台具备敏捷配置的特性,普遍的问题在于可视化能力恐因此降低,无法掌握每次异动的状态。藉由Posture Management与Workload搭配,先掌握整体运行资料,进而配置控管措施降低资安风险。

「Check Point可让企业依据数位化发展阶段性导入,而非一次到位,对于经营高层而言较容易被接受。应用部署到云端平台上之后,建议先采用Posture Management服务,掌握底层运作状态,再进一步为工作负载建立防护措施。」杨敦凯说。除此之外,企业采用的PaaS层,不论是异质公有云平台的技术,抑或是地端自建的容器环境,皆可运用Workload服务保护工作负载。CloudGuard提供的Connect为Layer 3设备扮演智慧路由,建立GRE通道连接到CloudGuard,由云端平台上的闸道安全来检测。

Author: bwg