無(wú)服務(wù)器安全
專(zhuān)為無(wú)服務(wù)器架構而打造
產(chǎn)品優(yōu)點(diǎn)
- 檢測攻擊并提供動(dòng)態(tài)保護
- 自動(dòng)修復無(wú)服務(wù)器錯誤配置
- 盡可能減小無(wú)服務(wù)器攻擊面
- 將 CI/CD 的無(wú)服務(wù)器安全防護“左移”
產(chǎn)品特點(diǎn)
- 自動(dòng)生成最低權限的 IAM 角色
- 函數自我保護,持續掃描函數中是否存在漏洞和潛在威脅
- 深層代碼流分析,確保應用強化和最低權限訪(fǎng)問(wèn)
- CloudGuard Dome 9 集成,實(shí)現集中化可見(jiàn)性、持續狀況管理和集成警報
- 與 Splunk、Slack、Jira、Amazon CloudWatch 等第三方相集成,進(jìn)行實(shí)時(shí)警報
洞察
無(wú)服務(wù)器應用需要專(zhuān)用的安全方法。對于無(wú)服務(wù)器應用從開(kāi)發(fā)到運行時(shí)這一完整過(guò)程,Check Point CloudGuard 可帶來(lái)無(wú)與倫比的可見(jiàn)性、安全性和的全面控制。
解決方案
Check Point CloudGuard 實(shí)現了無(wú)服務(wù)器 FaaS 應用從開(kāi)發(fā)到運行時(shí)這一完整安全生命周期的自動(dòng)化。CloudGuard Dome9 能夠檢測安全狀況方面的問(wèn)題并發(fā)出警報,在部署前提供糾正措施;通過(guò)無(wú)縫 CI/CD 集成,大幅節省開(kāi)發(fā)人員的時(shí)間,確保沒(méi)有漏洞蔓延到實(shí)際環(huán)境當中。在運行時(shí),CloudGuard 工作負載無(wú)代理函數自我保護 (FSP) 層能夠從函數層面檢測并阻止 OWASP TOP 10 攻擊,如注入、失效的身份認證、過(guò)多的權限和敏感數據泄漏;同時(shí)為每個(gè)函數生成高度準確的行為配置文件,阻止異常情況。
防止無(wú)服務(wù)器錯誤配置
- 自動(dòng)應用強化
CloudGuard 能夠在部署前后分析無(wú)服務(wù)器應用代碼,幫助最大限度改善應用安全狀況、減小攻擊面,并簡(jiǎn)化治理。
此外,CloudGuard 還通過(guò) CloudGuard Dome9 直觀(guān)界面為整個(gè)無(wú)服務(wù)器生態(tài)系統(函數、觸發(fā)器、第三方庫等)提供全面的統一視圖。聚焦安全的可視化界面可顯示所有輸入和觸發(fā)器及潛在風(fēng)險。
盡可能減小攻擊面
CloudGuard 突破性的深層代碼流分析技術(shù)能夠檢測配置風(fēng)險,并自動(dòng)生成最低級別的功能權限。該解決方案可清楚地概述推薦的修復步驟,幫助推動(dòng)大規模修復安全狀況的工作。
此外,CloudGuard 還可以檢測配置問(wèn)題并發(fā)出警報,例如未關(guān)聯(lián)的觸發(fā)器和過(guò)度配置的函數超時(shí)配置。該產(chǎn)品能夠持續掃描函數,查找已知漏洞和蘊藏的風(fēng)險,確保應用不會(huì )遭受攻擊。
自動(dòng)評測函數和應用行為
CloudGuard 能夠持續掃描無(wú)服務(wù)器基礎設施、代碼和運行時(shí)環(huán)境。CloudGuard 利用機器分析和深度學(xué)習算法,構建出應用和函數正常行為模型,包括在資源層面自動(dòng)創(chuàng )建操作白名單。您可以進(jìn)一步定義自定義策略,并根據函數級別實(shí)施行為。
準確快速地檢測
并阻止無(wú)服務(wù)器應用攻擊
根據已學(xué)習的函數情景,CloudGuard 提供動(dòng)態(tài)保護,并從調用時(shí)起開(kāi)啟自動(dòng)保護。CloudGuard 的函數自我保護 (FSP) 功能可檢測應用層攻擊、發(fā)出警報并加以阻止,如無(wú)服務(wù)器 OWASP Top 10 攻擊和獨立于攻擊觸發(fā)器的異常活動(dòng)。
使用 CLOUDGUARD
阻止無(wú)服務(wù)器攻擊的示例
CloudGuard 阻止代碼注入攻擊的示例圖:
