果核數位產品經理陳學耕

現今企業上雲為大勢所趨,且其中最普遍的應用面向,已非單一朵雲,而是跨多雲或雲地混合;導致企業雲端環境日趨複雜,面臨安全性、合規性挑戰。果核數位產品經理陳學耕表示,因此企業必須採取安全現代化的方式或工具 ,方可減輕安全管理負擔、提升安全營運效率,進而安心享受多雲或雲地混合應用的好處。

而果核基於自身的應用與服務經驗,認為不論是「雲原生安全工具」或「第三方雲端原生應用程式防護平台( CNAPP )」之間的採用, 都是邁向安全現代化的過程中至關重要的環節。

僅憑傳統工具,難以監控多雲安全性與合規性

陳學耕指出,關心公有雲趨勢的人,對 AWS 宣布 2025 年初在臺灣開設新的 AWS 區域表示歡迎,AWS 亞太 (台北) 區域在發布時將包含 3 個可用區域 ( AZ ) ,可提供完整的 AWS 服務,與 AWS 早先推出的臺北 Local Zone 截然不同。這意謂不久之後,從合規面和低延遲性來看, 對臺灣用戶來說絕對是一大利多。

據 IDC 報告顯示,2022 到 2027 年期間,臺灣公有雲市場的複合成長率達 22.6% ,預估 2027 年市場規模上看 41 億美元。未來,加上三大公有雲落地臺灣,及生成式 AI 應用熱潮,都是促使臺灣公有雲市場蓬勃發展的主因。

「隨著企業積極擁抱雲端,雲端安全挑戰將隨之攀升,」陳學耕說,從 ORCA Security 的雲端安全報告來看,不難發現許多令人憂心的情勢,大多數的雲用戶都有資安破口的問題, 例如具有可被公開存取的雲資產或雲帳戶權限控管的問題。再看另一份由 Thales 所做的全球雲端安全調查報告,則顯示「人為錯誤是雲端資料外洩的主因」這個關鍵警訊。更值得一提,Gartner 估計到 2025 年,至少 99 %的雲端資安事件皆是「客戶的錯」,主要癥結源自人為造成的配置錯誤。

由此觀之,欲克服多雲資安管理挑戰,必須先減少雲平台內部的配置/設定錯誤,而雲原生安全方案正是有效的解決方案。因為雲端環境的管理難度高,譬如 AWS 平台上的每一個帳戶,GCP 平台上的每一個 Project ,都有各自獨立的雲架構與服務 ;若以果核所服務的雲端客戶為例, 都橫跨三大公有雲, 且單一朵雲都具有多個帳戶或 Project , 單憑傳統資安工具, 恐無法有效進行雲端安全管理。

面對如此複雜環境,果核採用現代化的雲原生資安方案,時時偵測雲環境的改動,包括上面做了哪些配置變更、誰做的變更、是否存在錯誤配置的可能性、整個環境是否合規…等等事項。

為了協助客戶解決雲端安全管理困境與挑戰,果核訂定了「確保操作安全基準」、「持續性合規管理」、「持續性安全監控」三大安全管理目標,並基於這三個目標,依序訂定雲原生安全設定指引、第三方 CNAPP 自動化工具、SOC 雲端持續 7X24 監控與告警等安全策略。

善用 CNAPP ,跨雲分析錯誤配置與漏洞風險

陳學耕進一步說明,果核制定的雲原生安全設定指引,首要就是雲平台的帳號權限安全,包括避免使用 Root 帳戶、使用強密碼、啟用多重身分驗證( MFA )保護帳戶、善用 IAM 權限管理、最小權限原則,另外就是儲存體或重要服務不要直接對外公開存取,減少被直接攻擊面積,最後 Hard code ,程式碼和金鑰或憑證不要放一起,這很重要, 卻也是常見的漏洞。

為滿足上述指引,果核先行評估了雲業者提供的各式安全管理工具,但體認到其中蘊含著諸多困難點,比方說雲技術人員須熟悉來自不同 CSP 的各種工具,須具備一定的專業門檻,且任何單一工具,都不足以全面達成三大雲環境資源的可見性。於是果核決定轉而採用第三方 CNAPP ,期望藉由單一平台來整合安全性與合規性功能,有效防止、偵測及回應雲端資安威脅。

CNAPP 是基於 API 的 SaaS 平台,能補足雲原生安全工具的限制性,像是「缺乏跨雲安全管理的能力」、無法涵蓋從開發到運行的保護」、「可視性和可控性不足」等等,而 CNAPP 能對雲原生多種日誌處理、分析和監控,可應用到雲 SOC 資安監控。

至於果核如何推動雲地安全管理應用?陳學耕說,由於傳統雲地環境差異頗大,以致傳統地端 SOC( SIEM )無法應付雲端環境的資安監控 ,必須以雲端原生工具為主,才能滿足雲端環境快速變化與海量的日誌。果核評估三種雲端 SOC 資安監控的應對方式,都是將日誌在雲端處理分析,避免產生資料傳輸費用,其中之一的方式為 Cloud SIEM ,發現 Cloud SIEM 以資料量計費,成本偏高,以某家 CSP 的 SIEM 平台而論,假設一天處理 300GB 日誌資料,一個月費用就高達 98 萬元;有感於 Cloud SIEM 成本負擔過重,決定直接以 CNAPP 執行雲端 SOC 資安監控 。

綜觀果核的雲地 SOC 資安監控中心,已同時針對雲地進行資安監控 ,以 CNAPP 作為雲端日誌的處理分析與偵測機制,再與選用的合規政策、最佳實踐做比對,若偵測到違反政策事件,便立即傳送 Alert 或 Ticket 到 SOC 的 ITSM 。另在稽核角度方面,CNAPP 已內建多種資安基準與合規性規則選項,可定期執行雲端資安健診和合規性檢視。

第三方雲原生 CNAPP 平台對雲端進行全方面的保護,以雲端的最佳實務( CIS/Well-Architect )偵測雲環境,涵蓋雲基礎環境、程式碼安全到運行的工作負載,簡化多雲的安全管理。

加入果核數位粉絲團獲取更多資安/活動資訊

熱門新聞

Advertisement