สภาพแวดล้อมของ Hybrid และ Multi-cloud ได้เพิ่มความซับซ้อนให้องค์กรอย่างมาก โดยเฉพาะในความหลากหลายที่ Workload เป็นคนละรูปแบบกันเช่น Container ในระบบ On-premise ที่สามารถเคลื่อนย้ายไปบนระบบ Container บนคลาวด์อย่างไร้ขีดจำกัด ยังไม่นับรวมเรื่อง VM หรือ Traditional แบบเดิม ด้วยเหตุนี้เองความน่าหนักใจในเรื่อง Security จึงตามมาเนื่องจากโซลูชันที่เคยใช้งานอยู่ไม่ได้ถูกคิดค้นมาเพื่อรองรับกับโลกใบใหม่นี้
Gartner จึงได้บัญญัติศัพท์ใหม่ที่เรียกว่า Cloud Workload Protection Platform(CWPP) อ้างถึงผลิตภัณฑ์ด้าน Security ที่เน้น Workload เป็นศูนย์กลาง ให้ผู้ใช้งานสามารถควบคุมและมองเห็นการทำงานได้ไม่ว่า Workload นั้นจะอยู่บน Hybrid หรือ Multi-cloud ที่มีทรัพยากรที่ต่างกันทั้ง Physical Machine, VM, Container และ Serverless กล่าวคือ CWPP ให้องค์กรสามารถแก่องค์กรเพื่อป้องกัน Workload ได้อย่างแท้จริงโดยไม่ยึดกับสภาพแวดล้อม
ในบทความนี้เราจะขอพาทุกท่านไปรู้จักกับโซลูชัน CWPP จากค่าย Hillstone ที่ชื่อ CloudArmour กันครับ
ภัยคุกคามของ Container
Container ถือเป็นกลยุทธ์ที่องค์กรมักเลือกใช้เพื่อการทำงานของแอปพลิเคชันสมัยใหม่ เพราะสอดคล้องกับการทำ Microservices และตอบโจทย์ความยืดหยุ่นของแอปพลิเคชัน เนื่องจากสามารถเคลื่อนย้ายได้ง่ายผ่านการดูแลของ Orchestrator ให้มีจำนวนเพียงพอต่อการทำงาน หรือพร้อมขยายตัวเพิ่มหากโหลดมากขึ้น แน่นอนว่าเมื่อมีการใช้งานมากขึ้นทั่วโลก ฝ่ายผู้โจมตีเองก็ได้พัฒนาเทคนิคและวิธีการเพื่อตามเข้ามาหาผลประโยชน์ในระบบใหม่เช่นกัน
โดยที่ Gartner ได้เผยถึงมุมมองในการโจมตีที่อาจเกิดขึ้นได้กับ Container ถึง 11 ช่องทางคือ
1.) ระบบของนักพัฒนาเองอาจถูกแทรกแซงได้เช่น Cloud Storage หรือเครื่องมือโอเพ่นซอร์สที่เลือกใช้ ท้ายที่สุดอาจนำไปสู่เครื่อง Endpoint และเครื่องมือที่ทำงานด้านโค้ด
2.) โค้ดที่เก็บไว้ใน Git Repository เองอาจถูกขโมยหรือแทรกแซง
3.) โค้ดจากที่อื่นที่ล้าสมัยหรือไลบรารีของคนอื่นอาจบนเปื้อนอันตรายมา
4.) แหล่งเก็บอิมเมจก็ไม่น่าไว้ใจเต็มร้อย เพราะอาจมีอิมเมจที่มีช่องโหว่ภายในเพราะถูกแก้ไขมา
5.) แพลตฟอร์มบริหารจัดการที่คอนฟิคไม่ดีหรือให้สิทธิ์นักพัฒนามากเกินก็เสี่ยงต่อภัยคุกคามได้
6.) แน่นอนว่า Container มีการแชร์ System Kernel ใน Host แต่หากกำหนดสิทธิ์ของ Container ไม่ดีพอเป็นไปได้ว่าโค้ดอันตรายอาจจะเข้าควบคุมเครื่อง Host ได้
7.) ความเร็วในการพัฒนาก่อให้เกิดการเปลี่ยนเวอร์ชันบ่อยทั้งอิมเมจและโค้ด หากของเดิมไม่ถูกทำลายทิ้งหรือบริหารจัดการความเสี่ยงย่อมตามมา
8.) รูปแบบของ Microservice มีการปฏิสัมพันธ์ด้วย IP Address เป็นการภายในอยู่แล้ว (East-West) แต่มักมองไม่เห็นว่าเป็นอย่างไร ซึ่งการสื่อสารกันตรงนี้อาจเป็นภัยได้
9.) การสื่อสารข้ามโปรเซส(IPC)ที่ถูกใช้สำหรับสื่อสารระดับ Microservice มักมีกลไกของตนเองซึ่งส่วนนี้อาจมีช่องโหว่ต่อการแก้ไขเปลี่ยนแปลงสาร
10.) แต่ละบริการอาจมีฐานข้อมูลของตน ทำให้บริหารจัดการได้ยาก ยิ่งมีฐานข้อมูลมากความเสี่ยงก็เพิ่มขึ้น
11.) แอปพลิเคชันที่เกิดขึ้นบน Container อาจมีการเปิดบริการระดับเว็บที่นำไปสู่การโจมตีแอปได้
หากพิจารณาให้ดีจะพบว่าการทำงานเหล่านี้สอดคล้องกับกระบวนการพัฒนาซอฟต์แวร์ที่แบ่งออกได้ 3 ขั้นตอนคือ 1.) ขั้นตอนการพัฒนา (Development) 2.) สร้างระบบเพื่อเริ่มต้นใช้งาน (Deployment) และ 3.) การดูแลการทำงานในทุกวัน (Operation) ดังนั้นโซลูชันที่จะป้องกัน Container ได้จะต้องมีฟีเจอร์มากมายเพื่อรับมือภัยคุกคามในแต่ละช่วงเช่น ต้องวิเคราะห์โค้ดและสแกน image ว่าน่าเชื่อถือหรือไม่ความอันตรายหรือไม่ ตลอดจนขณะที่เริ่มรันไปแล้วยังต้องคอยติดตามคอนฟิคหรือการทำงานต่างๆต่อไปด้วย (ตามภาพประกอบด้านล่าง)
Hillstone CloudArmour
จะเห็นได้ว่าโซลูชัน CWPP จะต้องสามารถรับมือกับ Workload ได้ทุกรูปแบบเนื่องจากคลาวด์มีองค์ประกอบเกี่ยวพันมากมาย ในแนวคิดของ CloudArmour จะมีการแบ่งการควบคุมออกเป็นสองรูปแบบคือ Host และ Container เพราะคุณสมบัติต่างกัน ซึ่งองค์ประกอบที่จะพิจารณาจาก Host คือ OS, NIC และ Apps ต่างกันองค์ประกอบของ Container ที่พิจารณาจาก Image/Respository, Apps, Service/Ingress และ Cluster สำหรับฟีเจอร์เด่นของ CloudArmour มีดังนี้
1.) Visibility
มีแดชบอร์ดกลางสำหรับแสดงสถิติและข้อมูลเชิงวิเคราะห์ในภาพรวมที่อัปเดตแบบเรียลไทม์ เช่น ช่องโหว่ ภัยคุกคามกับอิมเมจและแอป สภานภาพของสภาวะแวดล้อม เป็นต้น
2.) Vulnerability Scan
ค้นหาช่องโหว่ของ Container อย่างอัตโนมัติทั้งที่รันอยู่ในโหนดของ Kubernetes หรือที่ถูกเก็บไว้ใน Respository ซึ่งหาก image ถูกอัปเดตใหม่โซลูชันก็จะทำการสแกนให้ด้วย และยังสามารถสั่งป้องกันไม่ให้ Container ที่มีช่องโหว่ถูกรันขึ้น ในมุมของ Host โซลูชันสามารถสแกนช่องโหว่ในระดับ OS, Kernel และ Software Package (APK, RPM หรือแพ็กเกจที่ถูกเรียกติดตั้งบ่อยในโปรแกรมยอดนิยมเช่น Nginx, Python และอื่นๆ) หากพบช่องโหว่จะแจ้งเตือนทันที
3.) Security Compliance Check
สามารถตรวจสอบส่วนประกอบต่างๆว่าเป็นไปตามข้อแนะนำหรือไม่เช่น Kubernetes, Docker, Linux, Container Application Runtime และ Docker Image เป็นต้น
4.) Micro-segmentation
สามารถช่วยแยกส่วนองค์ประกอบภาพในได้อย่างเด็ดขาด ในระดับ East-West และ North-South พร้อมค้นหา Dependency ของแอปพลิเคชันเพื่อสร้าง Policy ให้อัตโนมัติเพื่อบังคับใช้ โดยในการสร้าง Policy จะมีระบบช่วยแนะนำ (Smart Policy Assistant) ให้ทำได้อย่างเหมาะสมและปิดกั้นมากที่สุดตอบโจทย์ Zero-trust
5.) Intrusion Detection and Prevention by Behavior
CloudArmour ได้นำ Machine Learning เข้ามาเรียนรู้พฤติกรรมของ Host และ Container โดยพิจารณาจาก Syscall, Files, Networks และอื่นๆ ในช่วง Runtime ประกอบกับข้อมูลจาก Threat Intelligence ผสมผสานสู่การกำหนด Rule ที่สามารถยับยั้งภัยคุกคามได้อย่างเฉพาะตัว
อันที่จริงแล้ว CloudArmour ยังมีความสามารถที่น่าสนใจอื่นๆอีกมากมายเช่น
- แบ่งระดับการทำงานของแอดมินได้ถึง 3 ระดับคือ administrator, operator และ auditor
- สามารถค้นหา นำออก เรียกดู Log ของระบบและคอนฟิคได้
- มีระบบแจ้งเตือนอีเวนต์ที่สำคัญ
- ควบคุมการปิดเปิดบริการของ micro-segmentation ได้ในระดับโหนดหรือแอป
- สามารถทำ Global Default Policy ในการทำ micro-segmentation
- จัดทำ Blacklist หรือ Whitelist ในการมอนิเตอร์บริการของ Host ขณะ Runtime พร้อมตอบสนองได้ 4 รูปแบบคือ แจ้งเตือน บล็อก หยุด หรือเพิกเฉยต่อพฤติกรรม
- การสแกนสามารถตั้งตารางหรือเลือกคัดกรองการสแกนเฉพาะ image เวอร์ชันล่าสุดได้
- สามารถค้นหาข้อมูลทรัพยากรใน Container Cluster หรือ Host ได้อัตโนมัติ พร้อมอัปเดตข้อมูลสม่ำเสมอ
- สร้างการบริหารจัดการทรัพย์สินแบบ Multi-tenant ได้
- แสดงความสัมพันธ์ระหว่าง POD, Application และ บริการ รวมถึงความสัมพันธ์ระดับแอปของ Host
เรียนรู้เพิ่มเติมเกี่ยวกับ CWPP จาก Hillstone ได้ที่ https://www.hillstonenet.com/products/cloud-protection/hillstone-cloudarmour
สำหรับผู้ที่สนใจเกี่ยวกับโซลูชัน Cybersecurity ใดๆของ Hillstone Networks สามารถติดต่อกับทีมงานได้ผ่านทาง https://www.hillstonenet.com/more/engage/contact/ ซึ่งจะมีทีมงานติดต่อท่านกลับไป
ที่มา :