รู้จักกับ Hillstone CloudArmour โซลูชันเพื่อการทำ Cloud Workload Protection Platform(CWPP)

สภาพแวดล้อมของ Hybrid และ Multi-cloud ได้เพิ่มความซับซ้อนให้องค์กรอย่างมาก โดยเฉพาะในความหลากหลายที่ Workload เป็นคนละรูปแบบกันเช่น Container ในระบบ On-premise ที่สามารถเคลื่อนย้ายไปบนระบบ Container บนคลาวด์อย่างไร้ขีดจำกัด ยังไม่นับรวมเรื่อง VM หรือ Traditional แบบเดิม ด้วยเหตุนี้เองความน่าหนักใจในเรื่อง Security จึงตามมาเนื่องจากโซลูชันที่เคยใช้งานอยู่ไม่ได้ถูกคิดค้นมาเพื่อรองรับกับโลกใบใหม่นี้

Gartner จึงได้บัญญัติศัพท์ใหม่ที่เรียกว่า Cloud Workload Protection Platform(CWPP) อ้างถึงผลิตภัณฑ์ด้าน Security ที่เน้น Workload เป็นศูนย์กลาง ให้ผู้ใช้งานสามารถควบคุมและมองเห็นการทำงานได้ไม่ว่า Workload นั้นจะอยู่บน Hybrid หรือ Multi-cloud ที่มีทรัพยากรที่ต่างกันทั้ง Physical Machine, VM, Container และ Serverless กล่าวคือ CWPP ให้องค์กรสามารถแก่องค์กรเพื่อป้องกัน Workload ได้อย่างแท้จริงโดยไม่ยึดกับสภาพแวดล้อม

ในบทความนี้เราจะขอพาทุกท่านไปรู้จักกับโซลูชัน CWPP จากค่าย Hillstone ที่ชื่อ CloudArmour กันครับ

ภัยคุกคามของ Container 

Container ถือเป็นกลยุทธ์ที่องค์กรมักเลือกใช้เพื่อการทำงานของแอปพลิเคชันสมัยใหม่ เพราะสอดคล้องกับการทำ Microservices และตอบโจทย์ความยืดหยุ่นของแอปพลิเคชัน เนื่องจากสามารถเคลื่อนย้ายได้ง่ายผ่านการดูแลของ Orchestrator ให้มีจำนวนเพียงพอต่อการทำงาน หรือพร้อมขยายตัวเพิ่มหากโหลดมากขึ้น แน่นอนว่าเมื่อมีการใช้งานมากขึ้นทั่วโลก ฝ่ายผู้โจมตีเองก็ได้พัฒนาเทคนิคและวิธีการเพื่อตามเข้ามาหาผลประโยชน์ในระบบใหม่เช่นกัน 

โดยที่ Gartner ได้เผยถึงมุมมองในการโจมตีที่อาจเกิดขึ้นได้กับ Container ถึง 11 ช่องทางคือ

1.) ระบบของนักพัฒนาเองอาจถูกแทรกแซงได้เช่น Cloud Storage หรือเครื่องมือโอเพ่นซอร์สที่เลือกใช้ ท้ายที่สุดอาจนำไปสู่เครื่อง Endpoint และเครื่องมือที่ทำงานด้านโค้ด

2.) โค้ดที่เก็บไว้ใน Git Repository เองอาจถูกขโมยหรือแทรกแซง

3.) โค้ดจากที่อื่นที่ล้าสมัยหรือไลบรารีของคนอื่นอาจบนเปื้อนอันตรายมา

4.) แหล่งเก็บอิมเมจก็ไม่น่าไว้ใจเต็มร้อย เพราะอาจมีอิมเมจที่มีช่องโหว่ภายในเพราะถูกแก้ไขมา

5.) แพลตฟอร์มบริหารจัดการที่คอนฟิคไม่ดีหรือให้สิทธิ์นักพัฒนามากเกินก็เสี่ยงต่อภัยคุกคามได้

6.) แน่นอนว่า Container มีการแชร์ System Kernel ใน Host แต่หากกำหนดสิทธิ์ของ Container ไม่ดีพอเป็นไปได้ว่าโค้ดอันตรายอาจจะเข้าควบคุมเครื่อง Host ได้

7.) ความเร็วในการพัฒนาก่อให้เกิดการเปลี่ยนเวอร์ชันบ่อยทั้งอิมเมจและโค้ด หากของเดิมไม่ถูกทำลายทิ้งหรือบริหารจัดการความเสี่ยงย่อมตามมา

8.) รูปแบบของ Microservice มีการปฏิสัมพันธ์ด้วย IP Address เป็นการภายในอยู่แล้ว (East-West) แต่มักมองไม่เห็นว่าเป็นอย่างไร ซึ่งการสื่อสารกันตรงนี้อาจเป็นภัยได้

9.) การสื่อสารข้ามโปรเซส(IPC)ที่ถูกใช้สำหรับสื่อสารระดับ Microservice มักมีกลไกของตนเองซึ่งส่วนนี้อาจมีช่องโหว่ต่อการแก้ไขเปลี่ยนแปลงสาร

10.) แต่ละบริการอาจมีฐานข้อมูลของตน ทำให้บริหารจัดการได้ยาก ยิ่งมีฐานข้อมูลมากความเสี่ยงก็เพิ่มขึ้น

11.) แอปพลิเคชันที่เกิดขึ้นบน Container อาจมีการเปิดบริการระดับเว็บที่นำไปสู่การโจมตีแอปได้

หากพิจารณาให้ดีจะพบว่าการทำงานเหล่านี้สอดคล้องกับกระบวนการพัฒนาซอฟต์แวร์ที่แบ่งออกได้ 3 ขั้นตอนคือ 1.) ขั้นตอนการพัฒนา (Development) 2.) สร้างระบบเพื่อเริ่มต้นใช้งาน (Deployment) และ 3.) การดูแลการทำงานในทุกวัน (Operation) ดังนั้นโซลูชันที่จะป้องกัน Container ได้จะต้องมีฟีเจอร์มากมายเพื่อรับมือภัยคุกคามในแต่ละช่วงเช่น ต้องวิเคราะห์โค้ดและสแกน image ว่าน่าเชื่อถือหรือไม่ความอันตรายหรือไม่ ตลอดจนขณะที่เริ่มรันไปแล้วยังต้องคอยติดตามคอนฟิคหรือการทำงานต่างๆต่อไปด้วย (ตามภาพประกอบด้านล่าง)

Hillstone CloudArmour

จะเห็นได้ว่าโซลูชัน CWPP จะต้องสามารถรับมือกับ Workload ได้ทุกรูปแบบเนื่องจากคลาวด์มีองค์ประกอบเกี่ยวพันมากมาย ในแนวคิดของ CloudArmour จะมีการแบ่งการควบคุมออกเป็นสองรูปแบบคือ Host และ Container เพราะคุณสมบัติต่างกัน ซึ่งองค์ประกอบที่จะพิจารณาจาก Host คือ OS, NIC และ Apps ต่างกันองค์ประกอบของ Container ที่พิจารณาจาก Image/Respository, Apps, Service/Ingress และ Cluster สำหรับฟีเจอร์เด่นของ CloudArmour มีดังนี้

1.) Visibility 

มีแดชบอร์ดกลางสำหรับแสดงสถิติและข้อมูลเชิงวิเคราะห์ในภาพรวมที่อัปเดตแบบเรียลไทม์ เช่น ช่องโหว่ ภัยคุกคามกับอิมเมจและแอป สภานภาพของสภาวะแวดล้อม เป็นต้น

2.) Vulnerability Scan

ค้นหาช่องโหว่ของ Container อย่างอัตโนมัติทั้งที่รันอยู่ในโหนดของ Kubernetes หรือที่ถูกเก็บไว้ใน Respository ซึ่งหาก image ถูกอัปเดตใหม่โซลูชันก็จะทำการสแกนให้ด้วย และยังสามารถสั่งป้องกันไม่ให้ Container ที่มีช่องโหว่ถูกรันขึ้น ในมุมของ Host โซลูชันสามารถสแกนช่องโหว่ในระดับ OS, Kernel และ Software Package (APK, RPM หรือแพ็กเกจที่ถูกเรียกติดตั้งบ่อยในโปรแกรมยอดนิยมเช่น Nginx, Python และอื่นๆ) หากพบช่องโหว่จะแจ้งเตือนทันที

3.) Security Compliance Check

สามารถตรวจสอบส่วนประกอบต่างๆว่าเป็นไปตามข้อแนะนำหรือไม่เช่น Kubernetes, Docker, Linux, Container Application Runtime และ Docker Image เป็นต้น

4.) Micro-segmentation

สามารถช่วยแยกส่วนองค์ประกอบภาพในได้อย่างเด็ดขาด ในระดับ East-West และ North-South พร้อมค้นหา Dependency ของแอปพลิเคชันเพื่อสร้าง Policy ให้อัตโนมัติเพื่อบังคับใช้ โดยในการสร้าง Policy จะมีระบบช่วยแนะนำ (Smart Policy Assistant) ให้ทำได้อย่างเหมาะสมและปิดกั้นมากที่สุดตอบโจทย์ Zero-trust

5.) Intrusion Detection and Prevention by Behavior

CloudArmour ได้นำ Machine Learning เข้ามาเรียนรู้พฤติกรรมของ Host และ Container โดยพิจารณาจาก Syscall, Files, Networks และอื่นๆ ในช่วง Runtime ประกอบกับข้อมูลจาก Threat Intelligence ผสมผสานสู่การกำหนด Rule ที่สามารถยับยั้งภัยคุกคามได้อย่างเฉพาะตัว 

อันที่จริงแล้ว CloudArmour ยังมีความสามารถที่น่าสนใจอื่นๆอีกมากมายเช่น

  • แบ่งระดับการทำงานของแอดมินได้ถึง 3 ระดับคือ administrator, operator และ auditor
  • สามารถค้นหา นำออก เรียกดู Log ของระบบและคอนฟิคได้
  • มีระบบแจ้งเตือนอีเวนต์ที่สำคัญ
  • ควบคุมการปิดเปิดบริการของ micro-segmentation ได้ในระดับโหนดหรือแอป
  • สามารถทำ Global Default Policy ในการทำ micro-segmentation
  • จัดทำ Blacklist หรือ Whitelist ในการมอนิเตอร์บริการของ Host ขณะ Runtime  พร้อมตอบสนองได้ 4 รูปแบบคือ แจ้งเตือน บล็อก หยุด หรือเพิกเฉยต่อพฤติกรรม
  • การสแกนสามารถตั้งตารางหรือเลือกคัดกรองการสแกนเฉพาะ image เวอร์ชันล่าสุดได้
  • สามารถค้นหาข้อมูลทรัพยากรใน Container Cluster หรือ Host ได้อัตโนมัติ พร้อมอัปเดตข้อมูลสม่ำเสมอ
  • สร้างการบริหารจัดการทรัพย์สินแบบ Multi-tenant ได้ 
  • แสดงความสัมพันธ์ระหว่าง POD, Application และ บริการ รวมถึงความสัมพันธ์ระดับแอปของ Host

เรียนรู้เพิ่มเติมเกี่ยวกับ CWPP จาก Hillstone ได้ที่  https://www.hillstonenet.com/products/cloud-protection/hillstone-cloudarmour

สำหรับผู้ที่สนใจเกี่ยวกับโซลูชัน Cybersecurity ใดๆของ Hillstone Networks สามารถติดต่อกับทีมงานได้ผ่านทาง https://www.hillstonenet.com/more/engage/contact/ ซึ่งจะมีทีมงานติดต่อท่านกลับไป

ที่มา :

  1. https://www.csoonline.com/article/3659868/cwpp-how-to-secure-cloud-native-applications-built-with-containers.html
  2. https://www.gartner.com/reviews/market/cloud-workload-protection-platforms
  3. https://www.techtarget.com/searchsecurity/tip/Cloud-workload-protection-platform-security-benefits-features

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบ 47 หัวข้อสัมมนาด้าน Cybersecurity และ Data Privacy ในงาน NCSA Thailand National Cyber Week 2023 วันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน Cybersecurity รวมถึงนักเรียนนักศึกษาและประชาชนที่สนใจ เข้าร่วมสัมมนาและฟังบรรยายในงาน Cybersecurity Expo ระดับชาติ “Thailand National Cyber Week 2023” เพื่อแลกเปลี่ยนความรู้และอัปเดตเทรนด์ด้าน …

สกมช. จัดงานเปิดตัว “Thailand National Cyber Week 2023” เสริมความแข็งแกร่งด้านความมั่นคงปลอดภัยไซเบอร์ พร้อมสร้างเครือข่ายป้องกัน รับมือ ลดความเสียหายให้กับประเทศ

สำนักงานคณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ (สกมช.) นำทัพแถลงข่าวเปิดตัวการจัดงาน “นิทรรศการสัปดาห์วิชาการด้านความ มั่นคงปลอดภัยไซเบอร์ปี 2566 (Thailand National Cyber Week 2023)” ในวันที่ 17 – …