Idag har de flesta företag IT-säkerhetsförsvarets alla delar på plats. Cykler för patchning, rutiner vid nödändringar och sårbarhetsskanning liksom segmenteringsåtgärder, policy för brandväggar, IPS och härdning av operativsystem minimerar din attackyta och ger IT-säkerhetsarbetet struktur. Samtidigt innebär tjänster i molnet att företagets perimeter blir mer diffus, vilket ger en mer fragmentiserad attackyta och sämre kontroll på eventuella sårbarhetspunkter. Vilka verktyg finns det då för att skydda Cloud och DevOps?
Utmaningarna kan hanteras på flera sätt, till exempel genom utveckling av befintliga processer, samt nya verktyg. Det viktiga är att de baseras på en sammanhållen strategi, så att du inte hänvisas till punktinsatser. När det handlar om teknikstrategi är Prisma Cloud från Palo Alto Networks en lösning. Eftersom Prisma Cloud inte är bunden till några molnapplikationer finns inga tekniska användarbegränsningar, samtidigt som den preparerar för framtida expansion till multicloud. Prisma Cloud kan klassificeras som en Cloud Security Posture Management (CSPM) och Cloud Workload Protection Platform (CWPP).
Gartner skriver i sin CWPP 2020:
”Säkerhetskraven för molnbaserade applikationer utvecklas och spänner över virtuella maskiner, containers och serverlös arbetsbelastning i offentliga och privata moln. Säkerhets- och riskhanteringsledare måste hantera unika och dynamiska säkerhetskrav för arbete i hybridmolnet.”
Granska allt
Företagets attackyta är ett av de första områden våra kunder brukar vilja få under kontroll. I en DevOps-miljö adderas olika bibliotek och andra komponenter snabbt, utan någon egentlig hänsyn bakom valen. Koden exponeras ofta direkt mot Internet och kan inte ”patchas” förrän en ny version av tjänsten sprids, vilket kan ta allt från några minuter till några år. Om en enda av komponenterna innehåller en sårbarhet blir tjänsten ett potentiellt attackmål.
I Prisma Cloud paketeras ytterligare en komponent i tjänsterna. Implementeringen kan integreras med den vanliga DevOps-pipelinen och blir en inbyggd komponent i applikationen, som ger både önskad visibilitet och förmåga. Din nya flexibla miljö uppgraderas därmed till samma säkerhetsnivå som traditionella tjänster.
När Prisma Cloud-komponenten är integrerad går det omedelbart att se vilka delar en given tjänst består av. Nedan finns en skärmdump av portalen i compliance-visning.
I större miljöer där fokuserade insatser kan vara en fördel kan CVE-poängen vara ett effektivt prioriteringsverktyg. Återigen används samma komponent för att extrahera paket som har distribueras i samband med en given tjänst, vilka i sin tur mappas mot CVE-databasen. Ett riskpoäng över 90, som nedan, bör utlösa omedelbara åtgärder.
Det går givetvis även att gräva i de enskilda komponenterna/bilderna och se om det finns kända sårbarheter i dem.
Ett strategiskt val och en del av en arkitektur
PrismaCloud är en del av säkerhetsplattformen Palo Alto Networks och kan därmed vara ett strategiskt verktyg som säkrar att den annars något okontrollerade DevOps-introducerade attackytan täcks. Eftersom Prisma Cloud är leveratörsoberoende kan både nuvarande molnmiljöer och framtida K8s (Kubernetes) såväl som vanliga serveroperativsystem omfattas.
Kan Prisma Cloud skydda Cloud och DevOps i er miljö?
Både den fragmentiserade perimetern och DevOps innebär nya säkerhetsutmaningar. Conscias experter ger djupare kunskap i systemet och berätta hur Prisma Cloud passar just för att skydda Cloud och DevOps hos er.
