Check Point CloudGuard 保駕護航 安全上雲避開駭客地雷

根據 Check Point 統計，現今有 35% 企業將半數以上工作負載轉移至雲平臺；展望今後 1~1.5 年，高達 57% 企業規劃將五成以上工作負載搬上雲端。顯見雲端已是大勢所趨，企業不管基於數位轉型或因應 ESG 管理需求，皆需倚靠雲端來達成目的。

「但在過去一年中，近三成使用雲端的企業，都曾經歷雲端資安事件，」Check Point 雲端事業部業務經理謝欣蓉說，該比例較前一年增長 10 個百分點之多，顯見近兩年駭客開始轉換戰場、將攻擊觸角延伸至雲；係因雲的可視性相對較低，用戶只能透過 Console 或 CLI 命令介面進行設定，若不諳操作之道，容易形成漏洞。

綜觀雲端資安事件，起因「錯誤配置的資源帳戶」的佔比最高，突顯許多企業仍不熟悉雲端設定與操作。著眼於此，越來越多企業意識到為了強化雲安全，不僅需要保護雲上應用程式、防禦惡意軟體，更需防止雲端配置錯誤、檢測法規合規性，只要兼具這些要素，又符合成本合理、操作簡易、介面視覺化及高效能等性質，便可謂首選方案。Check Point 的 CloudGuard 解決方案，為市場上少數全面滿足前述要點的選項。

企業雲資安意識不足 易成駭客入侵破口 企業應積極防護

謝欣蓉強調，資安已是企業的剛需，不管在地端或雲端環境，皆應部署必要防護架構。

但現在企業對雲端資安的佈建積極度，並不如地端資安。Check Point 雲端資安顧問洪辰瀚指出， 許多企業採分批上雲模式，首批遷移的是非關鍵服務，認為資料被偷也無大礙，故不需部署防護機制；豈料駭客取得 Credential 後，就逕自開啟機器從事惡意行為，造成企業商譽與財務雙重損失。

雖然部份企業開始導入雲端資安，但僅採用雲端上的「安全群組」，「安全群組」像是架設在機器外圍的防火牆，根據連接埠、來源／目的地 IP 實施管控，殊不知當前威脅多已進化到應用程式漏洞的層次，另有若干企業做得更多，著手佈建 WAF；但隨著零日漏洞頻傳，需頻繁委請資安專家調整規則，導致管理成本大增，久而久之難免轉趨消極、鬆懈。由此看來，企業雲端資安的進步空間還很大。

單一平臺納管多帳號，確保雲環境持續合規

Check Point CloudGuard 是基於雲端資安防護而誕生的產品，主要分為「閘道」、「平臺」兩大塊。洪辰瀚說，其中平臺部份為 SaaS 服務性質，旨在協助企業執行環境檢測、日誌（Log）分析及工作負載保護，可支援多種不同雲端環境，包含公有雲、Kubernetes 等；其特別之處，在於利用單一平臺綁定多個帳號進行納管，且多個帳號的來源可以是一雲或跨雲。

該平臺有幾項重要特點。首先為 C S PM （CloudGuard Security Posture Management）， 主要負責合規性檢測，已將市面上常見規範預設在內（例如 ISO、SOC 、GDPR、PCI DSS ⋯等），用戶無需自行撰寫規則，便可一鍵啟動環境掃瞄，並取得完整報告，清楚知悉環境中有哪些不合規的問題、以及應該如何修正；用戶亦可借助 Check Point CloudBot，自動修復這些設定問題。

其次是 CloudGuard Intelligence，負責威脅獵捕，看的是實際發生的行為。雲上的所有操作或流量皆有日誌紀錄，Intelligence 就利用這些紀錄與 Check Point 情資中心比對分析，若確認為惡意行為，便透過視覺化界面，讓用戶得知已有哪些威脅入侵，監控它連結哪些其他服務、執行過哪些操作。

另有兩項其他功能， 一是 CWPP（ C l o u d Workload Protection Platform），負責保護機器、容器化工作負載，另一是 Spectral，負責保護 CI/ CD 流程與程式碼安全。

AppSec 開 WAF 先例，支援 ML 且兼具 IPS 功能

談到閘道端，包含兩大主力產品，一是 CGNS （CloudGuard Network Security），乃 Check Point 明星商品地端防火牆之虛擬化版本，且功能一致，除基本防火牆功能外更有進階應用程式控管、URL 過濾、沙箱與 CDR（Content Disarm & Reconstruction）等功能，並可利用單一管理平台同時控管雲地防火牆。

另一產品為 AppSec，是一套低管理成本的 WAF 系統，可保護 API 安全、機器人攻擊或自動化攻擊等應用層防護。另有兩大亮點，一是以機器學習為底，不需自行撰寫或調整規則，便能藉由系統主動偵測異常態勢。

AppSec 的另一亮點為搭載 IPS 功能，算是 WAF 領域的罕見之例。IPS 有何作用？以 Log4j 為例，欲以 WAF 擋下此類攻擊，難度較高，只因很容易一併擋下正常流量。IPS 則不同，可隨時與情資中心更新資料，得以精準擋下 Log4shell 這樣的 Zero Day 漏洞攻擊漏洞攻擊。目前因資通安全法要求，對外服務皆要求須加裝 WAF；也因應合規需求或沒有專人調整 WAF 的政府或企業單位，Check Point 也有相對應的優惠方案 ( 活動到今年底 )，以 Request 計費，具有彈性之優勢。

總括而論，Check Point 之於雲端安全有著多重優勢。第一，Check Point 擁有業界領先的軟體式防火牆技術，可輕易沿用上雲，涵蓋從程式碼、機器、平臺監控、網段等完整防護構面。第二，相較同質方案，具成本競爭優勢。第三可支援跨雲防護，並以 Request 總量計價，單一 Request 可能分佈於不同環境或機器。最後，Check Point 在臺灣設有雲安全團隊，能協助用戶規劃雲端資安架構，幾乎為資安業界所僅見。