Twistlock釋出為雲端環境專門設計的審計安全工具Cloud Discovery,使用者只要透過簡單的操作,就能對所有原生雲端服務,像是容器註冊表或是託管的Kubernetes平臺進行識別,以幫助使用者定位在不同公共雲服務上執行的應用程式。目前支援三大公有雲平臺AWS、Azure和GCP。

隨著企業在雲端中部署越來越多的原生雲端應用,營運跟安全團隊很有可能遺漏開發團隊執行的程式和服務,Twistlock表示,即便團隊都嘗試遵循嚴格的管理方法,但是很容易因為一個簡單的錯誤,或是快速投機的測試,就可能導致服務在創建後被遺忘。

而這正是問題產生的地方,因為遺忘執行中的應用程式,同時也就代表無法管理控制其安全性,並會因為企業選擇多雲端供應商,或是雲端供應商提供越來越多的服務或是區域,使得問題更加嚴重,這也讓手動管理這些散落各地服務的工作更加棘手。

為了解決這個問題,讓企業可以輕鬆的控制每個雲端供應商、帳戶和區域中的原生雲端服務,Twistlock發布了開源安全審計工具Cloud Discovery,Cloud Discovery提供所有原生雲端平臺服務的時間點列舉(Point in Time Enumeration),像是跨雲端供應商、帳戶和區域的容器註冊表、Kubernetes託管平臺和無伺服器服務。

Twistlock提到,Cloud Discovery之所以強大,是因為能夠以簡單的方法,探索跨環境的所有未知變數,不需要手動登入多個應用程式控制臺,或在不同的頁面操作手動輸出資料,使用者只需要給一個簡單的JSON配置檔案,Cloud Discovery就能列出雲端帳戶和存取這些帳戶的基本憑證。

Cloud Discovery能夠直接連接原生雲端平臺供應商的API,僅需要授權讀取權限,Cloud Discovery就能幫使用者探索服務以及元資料,另外,Cloud Discovery還有網路探索功能,可以使用連接埠掃描對特定IP範圍進行偵測,以弱配置或是授權,探索原生雲端基礎設施以及應用程式,像是Docker註冊表以及Kubernetes API伺服器等服務。這對於要探索沒有提供自安裝的原生雲端元件特別有用,像是EC2執行個體中執行Docker註冊表這樣的應用。

Twistlock強調,Cloud Discovery僅是將帳戶授權憑證作為Runtime的一項參數,也只會存在記憶體中,在使用結束後就會丟棄,並不會被留存在磁碟中,而且Cloud Discovery除了讀取權限之外,並不需要額外的管理或是寫入權限,企業不需要擔心給予Cloud Discovery登入憑證的安全性問題。

Twistlock將Cloud Discovery設計成簡單的Docker容器映像檔,可以在任何地方執行,並且自動化運作。目前Cloud Discovery支援AWS、Azure和GCP雲端平臺上的資產辨識,未來將會支援更多的雲端服務供應商。


Advertisement

更多 iThome相關內容