技術專欄
文/MetaAge 邁達特技術顧問|Harry Wang
您的企業正在擁抱雲原生帶來的速度與彈性嗎?在享受這些優勢的同時,您是否也擔心潛在的資安漏洞,讓您的數位資產暴露在風險之下?隨著雲原生的使用日益增加,隨著雲原生的使用日益增加,不論是 K8s 容器環境或是公有雲環境,雲原生的資安問題也跟著增長,成為企業數位轉型最大的「隱憂」。
Gartner 組織洞察到這個痛點,因此定義了一個新的名詞「雲原生應用保護平台」(Cloud Native Application Protection Platform:CNAPP)。而 AccuKnox 作為市面少數能做到雲地兼容的 CNAPP 解決方案,將為企業帶來更全方位的防護,身為 AccuKnox 在台灣的官方代理商-MetaAge 邁達特將透過本文,帶您認識專精於雲原生安全 AccuKnox 以及其核心 CNAPP 平台。
「雲原生應用保護平台」(CNAPP),顧名思義是針對「雲原生環境保護」的解決方案,這個解決方案包含了以下三大部分:
公有雲安全管理 – Cloud Security Posture Management (CSPM)
應用程式安全管理 – Application Security Posture Management (ASPM)
雲端工作負載 – Cloud Workload Protection Platform (CWPP)
這三個部分確保了雲原生應用從開發到生產階段的整個生命周期的安全性。然而,市面上許多標榜 CNAPP 解決方案的產品,並不一定同時涵蓋上述的公有雲、應用程式和工作負載的監控與防護。而 AccuKnox 則在這三個關鍵層面上,均提供完整且完善的支持,真正為您實現全方位的雲原生安全防護。
圖 1:雲原生應用的三個關鍵層面(圖片版權與來源:Gartner)
AccuKnox 長期專精於雲原生安全領域,其核心產品是以 Zero Trust(零信任) 為理念的 CNAPP 平台,且雲端和地端都可以部署。目前,AccuKnox 在 CNCF 上有 K8s 資安開源專案 KubeArmor,已累積超過上百萬的下載量,在雲原生防護領域具有非常強大的實力。下文將接續帶您從三個關鍵層面深入了解 AccuKnox 如何實現全方位的防護。
AccuKnox CSPM(雲端安全防護)提供了Agentless(無代理)的雲端掃描,且支援 AWS、Microsoft Azure 和 Google Cloud 三大公有雲平台。只要提供 Cloud Account 以及對應的權限,便可與 AccuKnox 做整合,不需植入任何 Agent。與 AccuKnox 整合後,您就可對公有雲的資產進行掃描,確保雲端資產持續符合諸如 ISO 27001、FIPS、CIS 等共 31 項合規性標準。
同時,您還可以透過 AccuKnox 檢查雲端配置,當雲端配置有問題時,AccuKnox 不僅會標示嚴重程度,點進詳細資訊甚至可以看到建議的解決方法。舉例來說:在 AWS 上的 security group,若將設定為允許 0.0.0.0/0 訪問 22 ssh,該設定就可能被攻擊者暴力破解登入。而 AccuKnox CSPM 會偵測到上述設定存在高風險並發出通知,告警雲端和資安管理員,並主動提供具體的修正建議,為您大幅降低因配置不當而產生的資安風險。
圖 2:AccuKnox CSPM 介面
在應用程式防護方面,AccuKnox ASPM(應用程式安全防護)將安全防線前移到開發階段,並與鏡像倉庫整合,幫您掃描鏡像漏洞。舉凡 Docker Hub、Quay、Harbor 等主流的雲端和地端鏡像倉庫,都是 AccuKnox 支援的鏡像倉庫。此外,還可整合 sonatype、checkmarx 等工具,進行靜態程式碼掃描 (SAST)、軟體成份分析 (SCA),自動識別有問題或過時的開源套件。
AccuKnox CI/CD pipeline 的程式碼掃描功能,可防護開發人員誤將 API key 等敏感資訊直接寫在程式碼中,並 push 到 GitHub。若將 AccuKnox Secret Scan 整合進 GitHub Action,後續每次 push 都會執行 Secret Scan,一旦掃描到敏感資訊,便會在 AccuKnox 平台觸發警示,同時提供修改建議,如此一來,便能確保不會有 API key、AWS 金鑰、資料庫帳密等放在程式碼中。
圖 3:AccuKnox ASPM 介面
透過開源專案 KubeArmor 的加持,AccuKnox 在 CWPP (工作負載安全管理)模組中的安全防護功能與機制更加深入與完善,與 CSPM、ASPM 形成互補,提供企業更全面的雲端原生安全防護能力。AccuKnox 的 CWPP 模組中,只需要於受管的 Kubernetes 叢集內安裝一個資源需求低於 500 millicore CPU 與 500 MB 記憶體的 Agent,便能進行統一納管。不管是開源叢集、Red Hat OCP(OpenShift Container Platform)、VMware VKS、SUSE Rancher 還是公有雲的 K8s,只要是 Linux 節點,都可以安裝 agent 進行納管。
成功納管後提供了下列四項功能:
行為建模: 將你的 K8s 內各個 namespace 的元件相依關係以圖形的方式呈現,像是 svc 對應到的 pod 或 deployment、開放的 port、使用的協定、允許連線的數量等。
工作負載強化: 可以手動建立政策,防止在運行中的容器執行特定操作。如阻擋 apt install、yum install、mkpkg 等指令,預防埋伏在鏡像中的零時差攻擊。
網路微分段: 透過政策的建立,可以在 pod 跟 pod 之間設立防火牆,防止遭到入侵後的叢集內橫向移動,也可以透過啟用自動生成的零信任網路政策來阻擋所有未經授權的流量。
K8s 身分識別與管理: 可以搜尋所有的 RBAC,並以交互式圖表呈現出使用者、權限、各資源之間的聯繫。讓 Kubernetes 管理者能透過 GUI 介面監控並檢視叢集的 RBAC 設定與使用情況。
圖 4:AccuKnox CWPP 介面
AccuKnox CNAPP 解決方案在 CWPP 方面比起其他產品,不只能做到監控和攻擊後的緩解措施,AccuKnox 還因為使用了 Linux LSMs(Linux Security Modules)安全模組和 eBPF 雙重防護確保靜態配置和 runtime 都能全面覆蓋,可以在攻擊發生的同時進行即時防護,以阻止或是減少其影響。
除了 SaaS 版本外,AccuKnox 亦支援離線環境的地端部署,因使用的是 Linux 安全模組和 eBPF,所以在地端部署 CNAPP 管理平台時不需要更改 K8s CNI 的設定,即可在不變更現有環境與網路架構的情況下完成導入 AccuKnox,並維持系統穩定性。憑藉上述優勢,AccuKnox 在地端 CNAPP 解決方案中脫穎而出,成為企業值得信賴的選擇。
圖 5:AccuKnox 架構示意圖
作為 AccuKnox 指定的台灣官方代理商,MetaAge 邁達特不僅擁有專業的 AccuKnox 技術團隊,更是國內少數專精雲地整合的資訊服務商,同時兼備 AWS、Azure、Google Cloud 三大公有雲代理資格,也精耕 K8s/DevOps 和 Red Hat 等產品領域。在混合雲、K8s、雲地資安領域,MetaAge 邁達特擁有獨特優勢,是協助您強化雲端資安的首選夥伴。
您正在尋找一款真正強大且雲地兼容的 CNAPP 解決方案嗎?想進一步了解 AccuKnox 的產品細節嗎?邁達特能為您提供完整的解決方案評估、POC 測試、導入與即時的在地化技術支援,為您的雲端安全保駕護航。
別再讓雲端資安成為您的隱憂!立即【 由此預約 】專人一對一免費諮詢,讓邁達特的 AccuKnox 頂尖技術團隊協助您解決雲端資安的各種挑戰。
A1:是的。AccuKnox 的核心優勢就是能同時支援地端與混合雲環境。不同於多數 CNAPP 僅專注於公有雲,AccuKnox 藉由 Linux LSMs 和 eBPF 等底層技術,確保其解決方案能靈活部署在任何環境,無論是公有雲、私有雲,還是離線伺服器。
A2:AccuKnox 的一大優勢是不需更改現有 Kubernetes 的 CNI 設定,讓您能在不影響既有網路架構與服務的情況下,無痛導入 AccuKnox,確保系統穩定性與業務連續性。
A3:是的。AccuKnox 適用於各種規模的企業,從新創到大型企業皆可。其輕量級的 Agent 設計與多樣化的部署方式,能靈活滿足不同環境的需求。
A4:AccuKnox 最大的特色在於強化了 CWPP 的即時阻擋能力,而不僅是事後監控。此外,其靈活的雲地部署能力與不影響現有架構的特性,也使其獨樹一格。
A5:KubeArmor 是 AccuKnox 在 CNCF 的開源專案,其技術正是 AccuKnox CWPP 模組的核心基石,賦予了其在容器和 K8s 層面強大的即時防禦與深度監控能力。
A6: IT 智能化最佳夥伴- MetaAge 邁達特是 AccuKnox 在台灣的獨家指定代理商。邁達特專精雲地整合、三大公有雲、DevOps 和資安等領域,能提供您完整的解決方案規劃與在地技術支援。
