文章來源:Aqua Security官網

AWS來源來源:
https://partners.amazonaws.com/cn/partners/001E000001LiLQqIAN/Aqua%20Security
https://aws.amazon.com/tw/blogs/apn/deploying-devsecops-on-amazon-eks-with-aqua-security-part-1/

Aqua Security成為AWS的安全能力認證合作夥伴

我們非常高興地宣布,在最新發布的AWS安全能力認證(Security Competency)中,Aqua Security在合規及隱私類別中獲得了安全能力認證,該類別中包含了CSPM (雲安全態勢管理) 和CWPP (雲工作負載保護)在內的用例。該認證再一次證明了Aqua雲原生應用保護平台(CNAPP)在幫助客戶實現雲安全目標方面,展現出的成熟的技術水平和豐富的專業知識。
 

作為下一步AWS安全能力認證的演進方向,CWPP和CSPM兩大用例的引進將會帶來更多基於這兩個方向上的用例,從而豐富這兩大安全類別。

Aqua最初於2018年獲得了AWS容器能力認證(Container Competency),標誌著我們能夠長期幫助客戶利用AWS的服務和安全工具,在AWS中安全地構建、部署雲原生應用,並實現自動化。新引入的這些類別體現了Aqua的獨特優勢,反映了Aqua在集成和創新方面的持續投入,通過更廣泛和更深入的技術能力,解決潛在安全、風險和合規問題。

 

適應雲原生技術的發展

正如AWS與專家共同合作研究有哪些新工具、流程和框架應該涵蓋在更新後的認證項目一樣,與此同時,Gartner等行業研究機構也在持續著關注安全類別的最新發展。
 

去年年底,Gartner正式確定了雲原生應用保護平台 (CNAPP)這個類別,該類別結合了“安全左移”DevSecOps、智能自動化、CSPM(雲安全態勢管理)和 CWPP(雲工作負載保護平台)。

根據Gartner創新洞察報告,“保護雲原生應用程序的最佳安全性,需要一種從開發一直到運行時保護的集成方法。SRM(安全風險管理)領導者應該積極評估新興的雲原生應用保護平台,也就是能提供完整的安全生命週期方法的平台。”

 

統一平台的意義不僅在於防患於未然,更在於在雲原生應用生命週期內,賦予平台卓越的可見性和控制能力,在問題出現時就將問題解決。另外,對於構建、部署和管理雲原生應用的人,和負責保護這些應用的人,統一的平台對於協調他們的工作一致性也非常重要。

 

為了繼續深入AWS的雲服務,也為了解決DevOps、安全和新興的DevSecOps團隊之間日益複雜的關係,Aqua將繼續在現有成就的基礎上,在雲風險管理CSPM,對AWS Fargate以及AWS Lambda的運行時保護,以及混合架構的安全與保障範圍領域,繼續獲得更多能力認證。

 

Aqua與AWS Competency能力認證下一步有哪些計劃?

【1】集成“上下文環境可見性”的自動化AWS EC2雲工作負載掃描 

根據我們新成立的事件響應(Incident Response)團隊的調研結果,Aqua為更細緻地評估每一個組件基礎上的鏡像漏洞提供了評判條件。一旦發現Log4J或Spring4Shell等零日漏洞,安全團隊須立即採取行動,掃描數十萬個鏡像以識別出新CVE的所有實例。

 

由於鏡像的數量龐大以及要快速降低攻擊風險的緊迫性,漏洞管理團隊要設法盡快確定風險最高的場景,尤其是在生產環境運行的極易被漏洞攻擊的容器。同時,團隊還應謹防將時間錯誤地花費到風險相對較低的漏洞實例上。掃描可以深入評估鏡像中的內容是否已成為漏洞攻擊的目標。通過在雲工作負載掃描中應用“上下文環境的可見性”邏輯,客戶就能夠攔截這些攻擊。

如果能夠更快、更準確的識別出針對正在運行的雲工作負載的零日攻擊實例,那麼就能夠基於上下文環境可見性,進一步評估相對的風險,由此,安全團隊就可以與開發團隊合作應對這些高壓場景。

 

2AWS Fargate和AWS Lambda運行時保護升級版
Aqua的許多客戶已經開始利用Fargate來構建、部署和管理可以在全球範圍內運行的大型複雜應用。隨著無服務器服務變得越來越主流,開發團隊經常發現自己在沒有製定安全最佳實踐的情況下採用AWS Fargate。作為一款容器即服務的產品,儘管Fargate幫助開發者無需再保護基礎架構的安全,但是他們仍然可能部署不受信任的鏡像,以至於使他們的公司暴露在運行時風險中。

為了滿足Fargate獨特的交付和安全要求,Aqua提供了專為AWS Fargate所構建的技術,該技術可以作為輕量級Kubernetes pod組件、在容器內或在sidecar架構中。除了在 Amazon EKS 上運行的Fargate之外,Aqua還可以保障在Amazon ECS和Graviton2上Fargate的安全。

PodEnforcer注入在與Aqua Kubernetes准入控制器插件KubeEnforcer組件集成後,能夠根據預先定義的合規策略修改pod清單。由此,開發者可以採用與其流程一致的部署方法,安全團隊可以維持保障功能,執行鏡像合規策略,檢測並防禦運行時威脅。

同樣,容器化的Lambda服務的使用也呈增長之勢。安全團隊可以使用跨容器和無服務器工作負載獲得一致的安全體驗,其秘訣就在於將Aqua的NanoEnforcer作為Lambda 層級自動注入,無需修改函數代碼或運行時狀態,團隊可以通過CI集成和掃描Lambda配置的過度訪問權限找出漏洞,進而為無服務器功能提供適用的DevSecOps工具、流程和提升門檻。

 

3保障Kubernetes混合架構的安全

Aqua是近期發布的EKS Anywhere Bare Metal的發布合作夥伴,該產品發布目的在於幫助客戶,無論是想在本地部署過程中利用託管Kubernetes服務,還是出於業務、監管或數據保護的考慮希望保持混合架構,都能擁有更多的產品選擇。

同時,Aqua也在幫助Red Hat OpenShift的客戶,通過AWS (ROSA)託管服務,他們以更優惠的價格運用Red Hat OpenShift,也可將他們的工作負載從本地Kubernetes部署遷移至雲端。

針對上述兩種場景,無論基礎架構和工作負載在哪裡運行,Aqua都滿足了對統一可見性,以及合規和安全策略的需求。 Aqua致力於幫助採用混合架構的客戶,保障其供應鏈安全、跨集群檢測和管理風險,並執行一致的Kubernetes原生安全和合規策略。

 
回上層