Trend Micro Cloud One层层把关 确保DevOps全程安全无虞
- 萧怡恩/台北讯
-
随着数码转型浪潮兴起,DevOps软件开发概念也顺势跃居主流,其可促使开发、测试与部署流程连成一气,并融入大量自动化,帮助企业加速开发进程。
然而企业在改变程序开发流程之际,若疏于改变网安做法,恐陷莫大风险。鉴于此,趋势科技在线网安议程主题设定在「开发流程安全防护」,阐述如何透过Trend Micro Cloud One,满足开发流程中的安全要求。
落实DevSecOps,在开发初期找出威胁
趋势科技资深技术顾问任宗伟指出,DevOps之所以盛行,在于它涵盖许多的开源工具、CI/CD工具,让开发流程更顺畅,且以容器形式来部署最终产品,方便企业灵活将应用服务布建到私有云、公有云不同平台。
DevOps拥有诸多优点,包括强化参与团队间的协作效率,持续且快速地反应问题,有助提高产品品质、稳定性及可靠性。然而DevOps也有诸多值得深思的安全议题,譬如开发人员未留意是否将明码金钥直接写进程序码,或忽略了开源软件是否有相关使用授权疑虑,而使开发完成的软件可能产生网安事件的风险。
任宗伟提出了一些DevOps安全案例,首先是恶意容器事件,有心人士看准开发人员习惯到Docker Hub取用映像档,便在上面建立azurenql帐号,并提供带有挖矿程序的恶意映像档;最后此映像档共计被下载逾200万次,扩散程度甚高。其次是号称近10年最严重漏洞的Log4j,造成许多企业软件出现弱点,形同为黑客开启一扇门,使其有机会进入企业内部从事各种破坏移动。
因此企业不应只顾DevOps,更须思考如何实践「DevSecOps」,尽可能在开发初期、也就是程序开发阶段或产生映像档时,及早找出威胁,并设法将网安导进自动化流程,随时掌握风险变化。
三大产品助阵,消弭各种网安风险
谈到趋势科技如何协助落实DevSecOps,关键就在Cloud One系列方案。其中第一个重要产品为Open Source Security,可整合Snyk,支持GitHub、GitLab或Jenkins等企业惯用Git环境,在程序开发阶段执行开源漏洞检测,扫描其中是否潜藏威胁,且一并提出对应的弱点报告、修复建议。
Open Source Security还可检视Summit的程序是否蕴含开源元件,并分析这些元件是否夹带风险。更重要的,亦可同时检视开源元件背后的授权条件,若发现含有像是GPL等不利于商业应用的授权形式,即会提醒开发人员研拟替代方案。它也会定期扫描程序码,提示开发人员加以修正,且完整记录所有修正轨迹,满足版控需求。
第二个重要产品为Container Security,肩负多重任务,如在开发阶段,确保开发人员使用的映像档安全无虞,且未夹带敏感明码信息及金钥。在部署阶段,确认服务部署条件符合企业要求,并确保映像档已经过扫描检查。在营运阶段,可确保服务未受最新漏洞影响。
任宗伟强调,Container Security可在容器环境进行两件任务。首先是映像档扫描,依序检查是否内含恶意档案或恶意script,是否内含弱点,再判断此映档是否为OS-based,如果是,就进一步确认是否符合PCI DSS、HIPPA等行业法规。其次当企业将映像档部署为正式环境的容器,它可协助检查YAML档案中有无设定不合理的权限,如果有,管理者后续可在主控台看到相关封锁记录,并获知个中原因。
第三项产品是Workload Security。当企业把服务部署到正式环境时,可能在运行过程出现新弱点,此时即可利用它来提供相关防护。总体来说,Workload Security可做到几件事,第一假设容器缺省允许与外部交换档案,可侦测传送进来的档案是否带有病毒;第二假使企业布建的是一个Web服务,若有外人锁定其中弱点展开攻击,而企业来不及修正,Workload Security可发挥虚拟补丁功效,先将攻击挡下,让企业有时间慢慢修正系统。
总而言之,有了Cloud One守护DevOps开发流程安全,企业不论处于源码应用、容器建立、容器部署或执行维运的任何一个阶段,都无需担心潜在的网安风险与挑战。
如欲回顾精彩议程,或报名其他在线网安议程,请至活动网站。
