Trend Micro Cloud One層層把關 確保DevOps全程安全無虞
隨著數位轉型浪潮興起,DevOps軟體開發概念也順勢躍居主流,其可促使開發、測試與部署流程連成一氣,並融入大量自動化,幫助企業加速開發進程。
然而企業在改變程式開發流程之際,若疏於改變資安做法,恐陷莫大風險。鑒於此,趨勢科技線上資安議程主題設定在「開發流程安全防護」,闡述如何透過Trend Micro Cloud One,滿足開發流程中的安全要求。
落實DevSecOps,在開發初期找出威脅
趨勢科技資深技術顧問任宗偉指出,DevOps之所以盛行,在於它涵蓋許多的開源工具、CI/CD工具,讓開發流程更順暢,且以容器形式來部署最終產品,方便企業靈活將應用服務佈建到私有雲、公有雲不同平台。
DevOps擁有諸多優點,包括強化參與團隊間的協作效率,持續且快速地反應問題,有助提高產品品質、穩定性及可靠性。然而DevOps也有諸多值得深思的安全議題,譬如開發人員未留意是否將明碼金鑰直接寫進程式碼,或忽略了開源軟體是否有相關使用授權疑慮,而使開發完成的軟體可能產生資安事件的風險。
任宗偉提出了一些DevOps安全案例,首先是惡意容器事件,有心人士看準開發人員習慣到Docker Hub取用映像檔,便在上面建立azurenql帳號,並提供帶有挖礦程式的惡意映像檔;最後此映像檔共計被下載逾200萬次,擴散程度甚高。其次是號稱近10年最嚴重漏洞的Log4j,造成許多企業軟體出現弱點,形同為駭客開啟一扇門,使其有機會進入企業內部從事各種破壞行動。
因此企業不應只顧DevOps,更須思考如何實踐「DevSecOps」,儘可能在開發初期、也就是程式開發階段或產生映像檔時,及早找出威脅,並設法將資安導進自動化流程,隨時掌握風險變化。
三大產品助陣,消弭各種資安風險
談到趨勢科技如何協助落實DevSecOps,關鍵就在Cloud One系列方案。其中第一個重要產品為Open Source Security,可整合Snyk,支援GitHub、GitLab或Jenkins等企業慣用Git環境,在程式開發階段執行開源漏洞檢測,掃描其中是否潛藏威脅,且一併提出對應的弱點報告、修復建議。
Open Source Security還可檢視Summit的程式是否蘊含開源元件,並分析這些元件是否夾帶風險。更重要的,亦可同時檢視開源元件背後的授權條件,若發現含有像是GPL等不利於商業應用的授權形式,即會提醒開發人員研擬替代方案。它也會定期掃描程式碼,提示開發人員加以修正,且完整記錄所有修正軌跡,滿足版控需求。
第二個重要產品為Container Security,肩負多重任務,如在開發階段,確保開發人員使用的映像檔安全無虞,且未夾帶敏感明碼資訊及金鑰。在部署階段,確認服務部署條件符合企業要求,並確保映像檔已經過掃描檢查。在營運階段,可確保服務未受最新漏洞影響。
任宗偉強調,Container Security可在容器環境進行兩件任務。首先是映像檔掃描,依序檢查是否內含惡意檔案或惡意script,是否內含弱點,再判斷此映檔是否為OS-based,如果是,就進一步確認是否符合PCI DSS、HIPPA等行業法規。其次當企業將映像檔部署為正式環境的容器,它可協助檢查YAML檔案中有無設定不合理的權限,如果有,管理者後續可在主控台看到相關封鎖記錄,並獲知箇中原因。
第三項產品是Workload Security。當企業把服務部署到正式環境時,可能在運行過程出現新弱點,此時即可利用它來提供相關防護。總體來說,Workload Security可做到幾件事,第一假設容器預設允許與外部交換檔案,可偵測傳送進來的檔案是否帶有病毒;第二假使企業佈建的是一個Web服務,若有外人鎖定其中弱點展開攻擊,而企業來不及修正,Workload Security可發揮虛擬補丁功效,先將攻擊擋下,讓企業有時間慢慢修正系統。
總而言之,有了Cloud One守護DevOps開發流程安全,企業不論處於源碼應用、容器建立、容器部署或執行維運的任何一個階段,都無需擔心潛在的資安風險與挑戰。
如欲回顧精彩議程,或報名其他線上資安議程,請至活動網站。