在DevOps全生命周期中实现云安全

This post is also available in: 繁體中文 (繁体中文) 日本語 (日语)

Palo Alto Networks(派拓网络)日前宣布推出业界最全面的云原生安全平台Prisma Cloud的最新版本。该版本为DevOps和SecOps团队提供了可视性和安全性,并具有先进的“安全前置(shift left)”与中央CI/CD策略管理功能,以及其他一些主机安全功能和架构改进特色。这些增强功能使企业能够在任何云和软件栈的DevOps全生命周期中实现云安全,并最终将先前划分的业务部门统一到一个共同目标上来:实施一种开发安全运营(DevSecOps)方法来推动安全的业务创新、扩展和增长。

云原生部署带来了安全挑战

以开发人员为主导的企业正在以前所未有的速度和敏捷性进行创新,并侧重于软件投资,这既是一种能力,又是一种竞争优势。

企业持续不断地实现其软件开发生命周期的现代化,并采用现代工具和流程,例如DevOps、容器和其他云原生架构。这种增长伴随着不断增加的多样化云足迹同步发生,最终使生产和整个应用生命周期中需要保护的实体数量成倍增加。

随着企业逐渐为更多的云基础设施构建流程实现自动化,他们正在采用并创建新的基础设施即代码(IaC)模板。如果没有正确的安全工具和流程的帮助,这些基础设施构建模块在创建时即存在大量漏洞。Unit 42发表的2020年春季云威胁报告发现,全球各地企业正在使用的不安全IaC模板有近20万个。这些漏洞会带来重大的安全风险。

由于可视性和安全防护的差距,在控制应用、数据和基础设施方面缺乏一致性的不同安全方法效果不佳。使问题更复杂的是,每个运营层面各自为政,安全问题将不再只是安全团队的责任

有志者(同时集成云原生安全平台),事竟成

云原生基础设施与随之而来的安全挑战的增长催生了Prisma Cloud,而我们的目标是打造全面的云原生安全平台(CNSP)。企业希望确保他们能够同时部署云安全态势管理(CSPM)解决方案和云工作负载保护平台(CWPP)。在2019年11月推出的Prisma Cloud版本中,我们看到了这种融合趋势,并开创了业界首个云原生安全平台的解决方案。

最近,Palo Alto Networks(派拓网络)被Gartner评为在开发和生产(包括容器/无服务器保护)领域融合CWPP和CSPM功能的三家供应商之一。1

安全团队需要持续监测云配置,同时还要保护该基础设施以上设备(虚拟机、容器和无服务器)的持续运行。一个统一的平台可以帮助企业在整个生命周期和全栈中扩展其安全工作。

客户引言

“随着我们数字化转型工作的持续进行,采用基于容器的应用开发策略,以及将越来越多的本地应用转移到公有云,我们需要第三方安全解决方案来跟上我们的发展步伐。Prisma Cloud为荷兰银行解决了确保容器工作负载的难题。在将应用发布到生产环境之前,能够有效地识别和纠正漏洞与错误配置,确保了我们业务的合规性以及客户数据的安全性,最终赋予了我们安全和开发团队快速创新的能力。”

——荷兰银行CI / CD顾问兼工程师Wiebe de Roos

“Prisma Cloud帮助我们公司实现了DevSecOps理念,让我们能够在开发中的每个阶段进行安全评估。一旦发现任何漏洞或缺陷,我们会在投产前进行修补。Prisma Cloud令我们开发环境中的所有细节一览无余,令人难以置信。我们可以在一个仪表板上掌控一切。”

——Cuebiq公司安全总监Nicola Mutti | 下载案例研究

最全面的云原生安全平台全新功能

在此最新版本中,Palo Alto Networks(派拓网络)既扩展了Prisma Cloud平台,又增强了其行业领先的云原生安全功能。以下是重点功能:

安全前置功能

  • IaC扫描:针对不安全配置提供开箱即用和自定义策略扫描IaC模板的能力,让客户能够更快地将创新产品推向市场,同时不必担心云原生应用和工作负载的安全性。现在Prisma Cloud用户可以使用多种安全前置插件来满足各种客户环境和需求,包括IDE(IntelliJ、VSCode)、SCM(GitHub)与CI / CD(AWS CodePipeline、Azure DevOps、CircleCI、GitLab、Jenkins)。其他插件例如GitLab和BitBucket,也将很快上市。
  • 中央CI/CD策略管理:客户现在可以直接从Prisma Cloud集中式仪表板设置漏洞和合规性策略,以管理CI和CD工作流程。客户还将能够在Prisma Cloud策略仪表板中查看和编写IaC策略。开箱即用的IaC策略符合AWS、Azure和GCP需遵守的互联网安全中心(CIS)标准。这些更新有助于进一步简化云原生安全功能并整合云风险管理。

虚拟机安全功能

  • 亚马逊云机器镜像(AMI)扫描:企业希望确保对其镜像进行审查以符合漏洞和合规性标准,并从可信来源进行部署。现在,此最新版本中的漏洞管理功能包括扫描亚马逊云机器镜像(AMI)功能,类似于Prisma已经扫描任何容器注册表或无服务器存储库的方式。这样,开发运营与安全团队就可以在部署AMI之前进一步了解其AMI的安全状况。

无服务器安全功能

  • 针对AWS Lambda的自动无服务器保护:自2019年11月我们收购PureSec公司,扩展了无服务器安全功能之后,现在Prisma Cloud客户能够直接在控制台单击即可自动保护其AWS Lambda功能。这意味着保护无服务器应用更加容易、快捷,并且不需要开发人员在代码中手工安装包装器。全部现有无服务器安全功能(例如漏洞管理、行为保护与无服务器云原生应用防火墙(CNAF))均属于自动保护功能。

这些新特性与功能预计到2020年4月下旬全面上市。

开始您的云原生安全之旅

开启您的云原生安全学习体验,请浏览我们的资源列表“云原生安全101”,其中包括实现云原生安全的最佳实践、转向开发安全运营理念、数字化转型挑战等主题。

1 Peter Firstbrook、Neil MacDonald、Lawrence Orans、Mario de Boer、Katell Thielemann、Bart Willemsen、Akif Khan、Michael Kranawetter(2020年)。《安全与风险管理的主要趋势》,2020年2月27日,Gartner研究公司


Secure Today,
for a Better
Tomorrow
Join us at IGNITE’20