【成功案例】

適用於AWS Fargate 無服務器的雲原生安全解決方案

Gartner報告指出，2022年將有75%的全球化企業會在生產中使用雲原生的容器化應用。雲原生生態持續擴大，基本覆蓋雲原生生命週期的全技術鏈，比如容器編排、微服務架構、不可變基礎設施、CI/CD、DevOps等在內的代表性技術。雲原生強勢發展，越來越多的企業開始全力推廣應用上雲。當企業將業務遷移至AWS雲環境時，通常利用的是AWS Fargate容器的無服務器計算模式。同時，企業需要依據行業監管合規要求，加入相對應的“等保”準則——即網路安全等級保護要求，並進一步加強安全合規檢測以確保業務安全，形成雲原生業務的防護體系標準，進而保障企業業務的連續性。

雲安全趨勢管理及網路安全保護風險分析

雲原生業務場景非常廣泛，需要為不同的業務場景定制不同的安全場景。當企業業務在AWS Fargate中運行時, 如果基礎設施沒有得到正確的配置和持續的監控，應用程序和企業就會面臨風險。 Aqua Security能夠在保障企業安全上雲的基礎上，對任何已識別的風險進行持續監控和吿警，採取適當補救及操作行為，並做到：

1. 滿足相關的合規準則、等級保護制度、安全防護，並建立一套企業雲原生全生命週期防護體系

2. 嚴格遵守PCI-DSS等監管標準，符合PCIGDPR及本地級保護、網絡安全法和個人信息保護法等

3. 將企業的關鍵數據資產作為風險評估過程的一部分進行識別

當企業在ECS(Elastic Container Service)控制台創建Fargate集群時，對其運行底層容器實例往往缺乏可見性或管理權限，更不清楚應用代碼將在哪些節點上運行，能看到的僅僅是Fargate容器的網路設置。

下圖為Fargate 架構示意圖：

而由於Fargate平台的特殊性，缺乏內部可視化的環境會導致在合規性方面難以稽核。 Aqua Security能最大程度地滿足企業在Fargate環境下，對運行的容器工作負載進行合規稽核的需要，以等級保護為例，Aqua Security可以滿足Fargate環境下對於等級保護規範的技術要求對應，如下表所示：

圖2: 對於等級保護規範對應的技術要求

Aqua Security為企業在AWS Fargate使用的業務提供了必要的信息系統等級保護合規，充分滿足了對安全通信網路、安全區域邊界及安全管理中準則落實本地等級保護合規監管要求。
 

適用於AWS Fargate 的雲原生安全架構

通過Aqua Security -MicroEnforcer組件，部署至AWS Fargate 平台，從而提供嵌入式的即時保護，建立企業容器安全的統一防護管理平台。在構建過程中，將Aqua MicroEnforcer代碼注入到鏡像中（保證不可變基礎原則），即可了解容器資源運行至哪個節點，甚至在非生產環境中也可以做到。平台內整合多個日誌管理的整合介面如Amazon CloudWatch , Webhook, Splunk, IBM QRadar等，可將告警事件傳遞，並利用Aqua Security微服務架構的優勢，當企業業務擴展時，能持續增加Aqua Security組件橫向擴容，保障業務連續性貫穿雲原生容器安全整體的生命週期。

安全防護建設

等保及安全合規 :

制定技術標準需要依據相關的法規和條例，應參照國際的安全合規標準(如CIS Benchmarks)或行業標準，主要目的是消除與國際標準間的差異。運用Aqua Security解決方案能快速為企業組織的技術需求和管理體系提供統一的雲原生安全基線及內部的統一標準, 確保業務滿足相關法規及合規，落實雲原生安全技術規範，並且能定期建立合規風險的識別與評估。

保護構建階段 :

在軟體開發生命週期的每個階段自動整合安全性--從最初的設計到整合、測試、部署直至軟體交付。利用CI/CD Pipeline (持續整合/持續交付) 交付應用及 軟體，企業能將安全測試整合到營運團隊的自動化測試應用中，根據不同的流程識別不同的關鍵安全問題，通過偵測和漏洞掃描方式使用靜態與動態技術，確保容器鏡像介質、來源、合規性及安全性都呈現健康良性；如果發現問題，可以立即自動化阻斷安全風險。

保護基礎架構階段：

當企業組織使用AWS Fargate 無服務器平台時，Aqua可提供豐富的自定義合規檢查模板(Custom Compliance Checks Templet ) ，建立CIS benchmark配置，以確保AWS基礎架構及企業應用K8s集群的合規與安全設置。當企業使用容器編排工具及主機資源時，需將安全考慮在內，近年來持續被爆出的容器逃逸漏洞、提權、遠程利用、挖礦等惡意攻擊方式將對容器業務造成直接影響，企業安全管理部門應在第一時間立即處置並予以修復。

保護工作負載階段：

在企業組織的生產環境中，利用“鷹眼”視角展現容器組織資產風險雷達圖，可以清晰了然當前容器資產安全級別與企業關係。通過流量安全基線，在容器資源運行後，利用運行時安全策略更有效地保護容器對象，通過如 Drift Prevention、File Integration Monitoring文件完整性監控等技術來清除威脅。

在容器網絡環境中，網絡安全風險檢測複雜且困難，需要對東西向和南北向流量的可視化更進一步地提高網路訪問的安全性，容器微隔離制定規則，容器資源對象對非授權訪問進行控制，並限制惡意連接。並且，企業需要持續聚焦資源負載指標，以確保系統性能的指標運行在合理範圍區間內。

Aqua Security優勢

Aqua Security解決方案滿足《雲原生安全技術規範》、《容器安全檢測產品安全技術要求》標準，並在AWS雲平台落實保護雲原生安全合規和等級保護。

Aqua Security是業內最早專注於雲原生安全領域解決方案的雲原生安全廠商之一，倡導雲原生安全容器全生命週期管理方法論，並提供預防、檢測和響應自動化服務，落實AWS雲基礎架構平台、供應鏈軟體安全防護、運行時工作負載的安全保護及監控。

Aqua Security提供無縫接軌並能夠滿足企業組織在Fargate以及在節點/主機上運行的容器工作負載的解決方案。

滿足AWS雲平台基礎架構針對CIS Benchmarks & K8S集群環境的安全基線合規檢查。

在容器資源運行時能覆蓋靜態及動態的行為分析，能更加精準識別風險並阻止逃逸漏洞，無文件，挖礦等攻擊。

鷹眼視角展現容器資產關係圖與風險雷達圖，充分保障資產對象安全和細顆粒度網絡流訪問控制。

滿足企業安全審計合規需求，事件日誌全記錄且能儲存至少180天，關聯安全事件分析平台，建立安全處置流程。