Check Point CloudGuard如何破解雲原生安全困局？

來源：這裡是廈門 釋出時間：2023-06-02 12:07

對於很多雲安全團隊來說，天天確定警報的優先順序可能非常難題，而且無法治理。每增加一個雲應用、伺服器和工作負載，警報的數目就會攀升。安全團隊根本無暇細看每個警報、深究每個發現結果、並確定警報的優先順序，更不用說因為缺乏全面可視性而被疏忽的其他一些安全問題。

Gartner：必需對已識別的風險進行優先順序劃分

為了解決此問題，Gartner 在其《2023 年雲原生應用保護平臺市場指南》中誇大了雲原生應用（CNAPP） 解決方案中的上下文對風險管理的重要性。“為了實現 RiskOps 的願景，必需深入瞭解雲原生應用不同要素之間的關係。換句話說，為了確保風險識別修復的可操作性，CNAPP 工具必需能夠構建一個囊括應用程式碼、庫、容器、指令碼、配置和漏洞的模型，以匡助確定高風險位置。因為不存在無風險的應用，安全職員應根據業務上下文對發現結果的風險進行優先順序劃分，確定根本原因，並讓開發人員首先關注風險最高以及潛伏業務影響最高的發現結果。同樣，必需深入瞭解開發人員/開發團隊在應用整個生命週期中的關係，這對於確定合適的開發人員/開發團隊或工程團隊來修復已識別的風險（併為他們提供充足的上下文來快速、有效地瞭解和修復風險）意義重大。”——2023 年 Gartner 雲原生應用保護平臺 (CNAPP) 市場指南

中國市場：近7成使用者對雲原生安全表示擔憂

2022年7月，工信部直屬科研事業單位的中國資訊通訊研究院，釋出了《雲計算白皮書（2022年）》。白皮書顯示，中國雲計算市場在2021年仍保持高速增長，市場規模達3,299億元，較2020年增長54.4%。而這一增長的技術背景則在於雲原生正透過改進企業的IT技術和基礎設施，持續加速企業IT要素的變革，成為企業上雲的新模式。詳細來看，表現在雲原生生態的日趨完善、能力模型的日漸豐碩、與企業IT建設目標和要素深度融合三大方面。然而，雲原生安全在現階段卻成為了其發展的最大阻礙。在一份第三方的《中國雲原生使用者調查報告》中顯示，近7成使用者對雲原生技術在大規模應用時的安全性、可靠性、機能、連續性心存顧慮。容器逃逸、微服務和API的安全是企業最關心的雲原生安全問題。近六成的企業表示，容器及其編排系統自身的安全已成為最凸起的雲原生安全隱患。

解決方案：Check Point CloudGuard 的有效風險管理功能

面對雲原生應用帶來的挑戰，Check Point CloudGuard 的有效風險管理 (ERM) 引擎有能力匡助企業使用者更加安全、靈活的治理雲端應用。該引擎透過在雲中應用的上下文來識別風險和安全漏洞（乃至未知工作負載中的風險和安全漏洞），並對其進行優先順序劃分，安全團隊可輕鬆確定步履方向。CloudGuard 還可以根據企業確定的個性化需求進行優先順序排序。這有助於安全團隊重點關注對其業務影響重大的風險，同時在整個雲環境中實現安全防護自動化，從而快速解決問題。

藉助 CloudGuard，安全治理團隊可以：

一、基於完整上下文對風險進行優先順序劃分，包括：

1、配置風險

2、工作負載狀態

3、網路暴露

4、許可權

5、攻擊路徑

6、業務優先順序

二、關注雲端、工作負載和程式碼中的威脅

三、基於降低風險的最快途徑，提供最佳化的修復指導

全面治理風險以進步運營效率

CloudGuard 的 ERM 引擎可自動整合企業的資料和輸入，以便對風險或漏洞進行優先順序劃分並快速處理。這有助於消除雲安全治理的整體複雜性。

首先，CloudGuard 會繪製每個雲資產的攻擊面，然後結合使用這些攻擊面和上下文資訊，評估每個資產的業務影響，併為安全團隊提供一份按優先順序排序的風險資產清單以及清楚可行的修復步驟。所有這些均已整合到 CloudGuard ERM 風險儀表盤中：

圖 1.CloudGuard 的 ERM 儀表盤提供了一個簡樸直觀的安全資料檢視。

快速深挖以確定亟需處理的問題

安全團隊能夠一目瞭然地看到哪些資產的風險更高。例如，下面的儀表盤凸起顯示了公然暴露的或高危的通用漏洞和暴露 (CVE)。

圖 2.CloudGuard 的 ERM 按風險評分對已知資產進行優先順序排序，並提供指導以匡助安全團隊採取最高效的措施，從而縮短修復時間。

按風險評分對資產進行優先順序排序

CloudGuard 按風險評分排列和顯示資產，該評分基於各列中明確列出的幾個因素，例如業務優先順序、公然暴露、錯誤配置的數目等。

需要首先關注的風險最高的資產顯示在頂部：

圖 3.CloudGuard 的 ERM 引擎分析來自平臺內部的輸入和外部輸入，以在上下文中識別風險並正確地進行優先順序劃分。

在計算風險評分時將以下多個因素納入考量：

配置錯誤

CloudGuard 可以被配置為只考慮特定的錯誤配置，預設情況下會將狀態治理模組中的所有發現結果都考慮在內。

相關漏洞

漏洞有三種：CVE、威脅（如機器上的惡意檔案）和金鑰（暴露的憑證）。藉助Check Point的無署理工作負載狀態，可以在 CloudGuard 中原生獲取漏洞資訊，也可以透過與外部漏洞掃描工具（如 AWS Inspector）相整合來獲取漏洞資訊。

資產暴露

網際網路暴露會增加資產遭到惡意利用的機率。CloudGuard 利用其圖形資料庫分析資產之間的連線，併為使用者的雲網絡建立拓撲圖。

IAM 敏感度

企業風險管理不僅要考慮遭到攻擊的機率，還要考慮其可能產生的影響。IAM 敏感度是與影響有關的因素之一。CloudGuard 的 ERM 引擎可計算 IAM 敏感度，衡量具有 IAM 許可權的資產可能造成的損害。舉例來說，假如攻擊者能夠訪問具有高階許可權的 IAM 角色的例項，後果可能會很嚴峻。

業務優先順序

業務優先順序是另一個重要的考慮因素，由於它衡量受損資產對業務的整體影響。可以選擇使用一系列引數（例如持有資產的雲帳戶、標籤或命名慣例）為資產定義業務優先順序。團隊還可以定義哪些資產至關重要，哪些不太重要，以確保在發現問題時優先處理重要資產所面臨的風險。

舉例來說，企業可以將最高優先順序分配給其樞紐應用，並確保測試環境中僅包含模擬資料的資產具有較低優先順序。當樞紐資產配置錯誤或易受攻擊時，其風險評分就會升高，成為企業需要優先處理的緊急風險。

圖 5.使用 CloudGuard ERM 來定義業務優先順序，例如低、高或緊急，並相應地對詳細資產進行排序。

透過每個資產的詳細資訊深入瞭解風險。

彙總所有這些資料，便可獲得公司雲環境中特定資產的完整風險檢視。要想獲取更多詳情，安全團隊可以從 ERM 儀表盤或“受保護資產”列表深入瞭解任何特定資產。

下面的示例顯示了在一個雲資產上發現的漏洞的詳細資訊。左側顯示了 CVE（按軟體包索引）、威脅和金鑰選項卡。此外，整合到 CloudGuard CNAPP 平臺中的無署理工作負載保護 (AWP) 元件答應訪問“修復摘要 (Remediation Summary)”選項卡，以獲取必要修復操縱列表。其中可能包括需要進級的軟體包、需要從特定程式碼行中刪除的憑證或其他建議。