數碼轉型
近年,企業以雲服務創新業務,從「基建即服務」(Infrastructure as a service)到現時開始原生雲(Cloud Native)服務,甚至開始以物聯網(IoT),蒐集數據優化業務。
雲服務最大的優點,包括了靈活,快速創新,基建和運算力靈活伸延,無遠弗屆。近年,容器服務快速擴展,取代了以虛擬機器來提供服務。新一代的雲服務採用Kubernetes協調容器,提供了容錯和自動管理,甚至跨雲部署的能力。
另一個主要趨勢,則是「無伺服器」(Serverless)運算,類似AWS的Lambda,或者其他雲服務稱之為Functions。「無伺服器」也廣泛應用在部署IoT上。
「無伺服器」完全毋須管理基建,用戶只要呼叫API,或者業界稱之為的Functions,就可啟動資源執行某些動作。不少雲服務商為「無伺服器」,提供極低廉的消費限額,甚至低於某個限額可以免費。「無伺服器」最大優點為彈性,初創以最低風險建立服務,業務受歡迎流行後才付費。
「無伺服器」的另一用途,可支援愈來愈廣泛IoT應用。位於邊緣位置感應器或接收器,數據傳回雲端,就以publish/subscribe啟動接收,「無伺服器」Functions只在有訊息時才啟動,無訊息就完全不資源,支撐Functions基建,自動擴充伸縮,完全不浪費運算資源。
「無伺服器」原理,其實也是利用了Kubernetes自動協調容器增刪,達到充份利用資源的目標。
DevOps暗藏危機
容器其中一個優點,則是支援DevOps,支援快速開發流程,不斷循環升級應用。開發人員只要開發好容器,就直接配置在Kubernetes叢集上,自動管理容錯和升級,並維持正常運作。
問題在於不少企業誤以為,採用雲原生服務之後,就毋須擔心保安管理,或者雲服務供應商會提供保安,可以安枕無憂。
Palo Alto Networks發佈了一份調查報告,顯示香港及亞太區大型機構雲服務安全狀況,不少反映行內人士對網絡安全認知不足。報告由Ovum Research訪問員工200名或以上機構,發現大部分機構沒做好準備,應對雲端相關的網絡安全威脅,甚至假設公有雲已經是安全。76%機構認為,雲供應商提供保安,足以保護免受雲端相關威脅。
Palo Alto副總裁兼亞太區安全總監Sean Duca說:「採用了雲原生的開發,數據就分散在不同地點,其中更難於保護。雲服務帶來其中一項轉變,就是企業可防守的保安邊界(Perimeter)變得模糊,保安邊界甚至失去了意義,沒有保安防守邊界可言。」
業界亦興起了所謂零信任(Zero Trust),即假設所有網絡連接,都是不安全,必須通過第三方認證才算。
「DevOps和「無伺服器」加快了推出服務,卻相應增加了保安危機,因為數據再趨向分散,也更難於保護。」
「DevOps開發過程,開發人員往往利用了大量公開源碼;例如開發人員隨便從Github下載源碼,然後整合功能到應用。首先,源碼的內容可能有漏洞或弱點,甚至惡意代碼,結果最後開發應用亦有弱點,另外,開發人員為求方便,API金鑰也整合源碼內,甚至以不同方式分享,又增加了風險。」Duca說,不少人以為,做好身份和認證,就可成功把關,解決了雲服務帶來的風險,此純屬誤會;不少容器也暗藏漏洞。
統一監察降低風險
雲服務興起之後,Ovum亞太區諮詢服務總監Andrew Milroy表示,68% 受訪大型機構認為多雲端方案會造成缺乏統一監察的風險。
Palo Alto香港及澳門董事總經理馮志剛說:「不少企業都傾向採用多個不同雲服務,Palo Alto亦有與多家雲服務合作,可在雲端設置虛擬保安設備,並從單一儀錶板介面獲所有IT資產保安完整並不斷更新的資訊,也就是業內所謂『A single pane of glass』。」
過半(62%)受訪香港企業網絡架構,正使用逾10種保安工具來保護雲端。保安工具過多導致安全部署零散,增加雲端安全管理的複雜性,必須簡化才可降低風險。
市場上亦開始針DevOps開發和無伺服器環境的保安工具。Palo Alto具備本身也推出了雲保安方案Prism,今年陸續收購了以色列初創Twistlock,就是針對容器的開發和保護,具備管理漏洞的能力;從開發的階段,就先加入識別風險和弱點能力,支援多種容器。
簡單來說,就是容器從開發到升級的過程;就是包括了開發過程的漏洞管理、合規性、運行防禦,持續整合和交付(CI/CD),雲原生防火牆和存取控制等各種功能,支援Amazon ECS、Azure、Docker、GCP Security、Kubernetes、Pivotal、OpenShift、Istio等容器環境。
Palo Alto另一項收購是PureSec,專門針對「無伺服器」環境,支援公有雲的產品包括AWS Lambda、Google Cloud Functions、Azure Functions、IBM BlueMix OpenWhisk等的運算環境。
企業另一項挑戰,則是大量IoT設備接入,不少IoT設備缺乏保護,作業系統就有不少漏洞,容易被入侵,或變成殭屍網絡攻擊工具。最近,Palo Alto完成收購Zingbox,亦是針對IoT保安,可即使即時發現及報告IoT設備的接入,一旦發現不尋常的連接,馬上動態產生新防火牆規定,攔截IoT設備攻擊。
Palo Alto正整合Zingbox,與防火牆產品自動化作出保護。馮志剛說:「Zingbox會以軟件即服務方式供企業訂閱,解決IoT保安的挑戰。」
上述報告也顯示,保安自動化的需求上升,因為機構也沒有投放足夠時間和資源,於雲端安全審核和員工培訓之上。Palo Alto整合上述產品後,可將保安過程自動化,受攻擊時更快反應。