落实Cloud Native Security 4C架构 安心推进云端创新旅程

趋势科技建议藉由「4C架构」，包含Cloud、Cluster、Container、Code，理解云端原生应用网安的内涵，建立趋吉避凶之道。趋势科技

身处数码化时代，愈来愈多企业为加快创新，都倾向在公有云、私有云、企业内或混合云等动态环境中建立与执行可调整的应用程序，以减轻开发负担、提升开发效率、简化管理复杂度，使云端原生运算蔚为风潮。

但不少企业在拥抱云端的同时，也关心背后是否潜藏自己有所不知的网安疑虑。为此趋势科技于日前举办「云端网安风险与Cloud Native Security 4C的概念与实作」在线讲堂，期望协助企业厘清云端网安威胁来源、迅速解决问题。

对焦4C模型  整理各环节的网安隐忧

趋势科技大型事业部业务协理杨肇谦指出，云端应用炙手可热，已成为众多国家、企业建立竞争优势的来源。影响所及，无论新创公司、中大型企业都积极发展云端原生应用，拥抱无服务器运算、容器、混合云、微服务及DevOps等新技术；尽管这些新兴应用日益成熟，但随着网安事件陆续曝光，企业也开始绷紧神经、急欲探究云端网安风险。

黑客组织Teams TNT利用挖矿蠕虫，欲从企业Docker或Kubernetes环境窃取AWS口令。也有企业肇因外包商初期在AWS环境上设定错误，导致600万用户数据意外曝光。这些信息，对企业犹如震撼教育。

趋势科技云端安全架构师任宗伟建议，尽管云端与企业熟知的环境差异大、且更加复杂，但仍可藉由「4C架构」理解云端原生应用网安的内涵，建立趋吉避凶之道。

4C包含Cloud、Cluster、Container、Code，看似各自独立，但事实上彼此紧密结合。第一个Cloud Layer，负责提供最根本的基础架构，包括系统、网络及储存等资源；企业使用云端服务时，须针对各个服务元件做好组态设定，避免出现不符公司政策或偏离实际需求的配置。

再来是Cluster Layer，是一个概念上的服务集合，会自动分配网络资源给服务元件，确保它们正常执行；值得一提，不管是Cluster、Worker Node等元件与元件之间的沟通网络，或Container的网络，一旦出现弱点，便可能沦为黑客攻击破口。

Container Layer是执行单位，蕴含轻巧性、可携性和平台一致性。至于Code Layer代表组态设定档；在云端环境里，我们需要使用「基础架构程序码」(IaC)来设定组态，好处是一致、正确且快速，但在IaC自动化部署过程，若配置档中带有不合理的组态，就容易发生意料外的网安事件。

善用Cloud One  完整涵盖4C防护需求

任宗伟说，云端网安风险可分成两块，其一来自Cloud/Cluster基础架构层次，另一源自Container/Code执行阶段。针对前者，举凡异质云端环境管理、网络安全管理，及因应复杂云端环境的设定管理，皆可能出现挑战；而在执行阶段，可能因采用恶意的映像档或开源元件，采用违反法规与政策的映像档，或在IaC自动化阶段出现不合理的容器权限配置，都会产生风险。

为协助企业解决上述难题，趋势科技提供Cloud One云端网安解决方案，内含多个产品项目，有助保障云端应用安全，让用户顺利推进数码转型。

面对基础架构层面的挑战，企业可透过Cloud One当中的Workload Security，统一防御公私云上所有重要主机，避免各项服务遭受攻击；以现今热门的容器而论，不论承载Apache、数据库或其他任何服务，只要安装在Workload Security纳管的主机上，即可一并接受防护。此外企业可善用Conformity，持续自动地深层检查云端配置，避免出现违反法规或不安全的不当设定。

关于执行阶段的挑战，企业必须先有基本认知，藉由DevOps、CI/CD实施高速自动化的过程可能衍生安全议题，故而需要建立DevSecOps观念，从一开始就考量到整体安全性，必须及早确保开发人员使用的内外部映像档安全无虞，确保映像档里的开源元件符合最新版本，确认相关部署条件符合公司规定，例如不允许采用最高执行权限、或将敏感金钥信息藏于映像档。

对此企业可藉由Cloud One中的Container Security做为基础，利用其中SmartCheck功能深层扫描容器映像档，及利用Admission Control确认部署状况及YAML档的设定，避免出现逾越公司网安政策的权限配置。

总括而论，企业只要借助趋势科技Cloud One平台，活用Workload Security、Conformity与Container Security等工具，便能有效满足云端原生网安4C架构的各个层次网安控管需求，进而降低风险、安全上云。

如欲了解更多趋势科技LetsTalk Online在线网安课程主题与报名信息，请至活动网站。