安全自动化与 DevSecOps 双管齐下,Palo Alto Networks Prisma Cloud 定义高效云安全,19/01/2023, TechRitual 编辑,135,,
受到新冠疫情影响,企业导入云端应用的需求大增,但同时也衍生出许多云端安全问题。令人担忧的是,不少企业似乎仅扩大云端应用的导入,而忽略设立相应的云端安全防护机制。根据 Palo Alto Networks 的研究报告指出,企业迟迟无法有效解决云端网路安全问题,与无法顺利落实云端安全自动化及开发营运安全(DevSecOps)有很大的关系。
落实高安全状况、低安全摩擦,善用 CSP/第三方安全方案
新冠疫情带动远端办公及混合工作的全球风潮,人们开始深刻体会到云端服务是企业关键应用最便捷、最具弹性以及扩展性的交付型态,企业关键应用上云的需求因而水涨船高。根据 Palo Alto Networks《2022 年云端原生安全现状报告》指出,2020 年企业已有近 50% 的数据 与应用(46%)上云,到了 2021 年这个比例正式突破 5 成大关(59%),而且这类企业的比重高达 69%,远远超出 2020 年企业比重(31%)的 2 倍多。在云端运算选项方面,PaaS 平台即服务及无伺服器最受青睐,使用率大幅提升 20%,至於容器与 CaaS 容器即服务的成长幅度不大。
随着企业将愈来愈多的工作负载上云,这样的趋势也吸引了网路骇客的注意,一时之间各种网路攻击纷至沓来,举凡混合云及多云环境中的基础设施、应用程式、API 及资料,以至主机、容器、微服务及无伺服器架构等云端工作负载,莫不成为骇客锁定的攻击目标。除此之外,完善安全性、合规性管理与配置管理更成为当前企业上云後所面临的三大挑战。
一般而言,安全状况感知程度愈强,安全效率与防护程度也会愈高。由於安全性往往会与便利性背道而驰,所有企业在导入各项云端安全解决方案时,势必会牺牲一部分的云端应用便利性,甚至有可能对云端应用服务的效率及工作流程顺畅度造成一定影响,亦即出现所谓「安全摩擦」的状况。
但有趣的是,Palo Alto Networks 调查发现,安全状况强健的企业,反而能有效降低安全摩擦的状况。因为在受调查的低度安全摩擦企业中,具备安全状况强健的企业高达 71%,但安全状况较弱的只占 29%。这说明了企业需要一套双管齐下的方法,也就是在不对既有业务营运流程造成干扰的情况下,实现高效的云端安全,如此一来还能进一步提升生产力与员工满意度。
该公司强调,DevSecOps 与安全自动化是兼具高安全状况与低安全摩擦的两大关键要素,也是成功上云的必要元件。而且 DevSecOps 与开发生命周期整合程度愈高的企业,其高安全状况(超过 7 倍)及低安全摩擦(高出 9 倍)的可能性也愈大。
至於安全自动化程度较高的企业,不但比较不会出现安全摩擦的状况(发生机率降低两倍),而且安全状况也更强。事实上 Palo Alto Networks 在 2021 年针对 Covid-19 影响所发表的《Unit 42 2021 年下半年云端威胁报告》中就曾表示,随着云端规模与复杂度的迅速攀升,企业开发流程若未导入自动化安全控制,势必会出现不良的安全後果,这也说明了安全自动化是提升云端安全的重要做法之一。该公司透过对不同上云程度企业的云端安全状况与做法进行交叉分析後得出几点结论:首先,将云端采用整合至更广泛的策略性数字化转型计画才是成功的关键所在;其次,针对提供大量安全工具的厂商进行整合,将有助於提升云端采用计画的成功率;最後,采取 CSP 或第三方安全供应商等较平衡的安全来源,将有助提升上云的成功率与安全性。
整合开发人员与 DevSecOps 工作流程,展现 276% ROI 极致效益
为了在开发初期阶段就能确保混合云和多云环境中包括基础设施、原生应用程式、资料与存取权限的安全性,进而实现 DevSecOps 原则与开发生命周期的高度整合,展现安全自动化的效益,Palo Alto Networks 特别推出 Prisma Cloud 解决方案。
这个全面性的云端原生安全平台集结多种弹性整合式模组,包括能将安全性与开发人员工具进行整合,以提供基础架构即程式码(IaC)安全性的「DevSecOps」、全面监控/侦测/回应威胁并确保云端可视性与合规性的「云端状况安全管理」(Cloud Security Posture Management)、提供主机/容器/无伺服器安全/网路应用程式/API 安全性的「云端工作负载防护」(Cloud Workload Protection)、能实施身分式微区隔 (Micro Segmentation) 并保护信任边界的「云端网路安全性」,以及支援 IAM 身分识别与存取管理功能的「云端基础架构权限管理」(Cloud Identity Entitlement Management) 等模组。
根据市调机构 Forrester Consulting 於 2021 年执行的《Palo Alto Networks Prisma Cloud 的总体经济影响》研究报告指出,导入 Prisma Cloud 可带来投资报酬率 276%,净现值 581 万美元、还本时间小於 6 个月的显着效益。在 SecOps 安全营运上,能提升安全事件调查效益达 44%、弱点及错误配置修复效益达 60%、稽核效率达 64%。
总而言之,支援统一代理程式架构 (Unified Agent Architecture) 与单一 SKU 计价模式的 Prisma Cloud,让客户透过单一仪表板享受公私有云安全的完整使用者体验。该解决方案能将开发人员与所使用的 IDE 整合开发环境、SCM 原始程式码管理、CI/CD 持续整合/持续交付等工作流程相互整合,进而打造出能确保云端基础架构与原生应用程式安全的完整 DevSecOPS 生命周期。(更多 Prisma Cloud 细节详见 Palo Alto Networks 官网)