無服務器安全
專為無服務器架構而打造
產品優(yōu)點
- 檢測攻擊并提供動態(tài)保護
- 自動修復無服務器錯誤配置
- 盡可能減小無服務器攻擊面
- 將 CI/CD 的無服務器安全防護“左移”
產品特點
- 自動生成最低權限的 IAM 角色
- 函數自我保護,持續(xù)掃描函數中是否存在漏洞和潛在威脅
- 深層代碼流分析,確保應用強化和最低權限訪問
- CloudGuard Dome 9 集成,實現集中化可見性、持續(xù)狀況管理和集成警報
- 與 Splunk、Slack、Jira、Amazon CloudWatch 等第三方相集成,進行實時警報
洞察
無服務器應用需要專用的安全方法。對于無服務器應用從開發(fā)到運行時這一完整過程,Check Point CloudGuard 可帶來無與倫比的可見性、安全性和的全面控制。
解決方案
Check Point CloudGuard 實現了無服務器 FaaS 應用從開發(fā)到運行時這一完整安全生命周期的自動化。CloudGuard Dome9 能夠檢測安全狀況方面的問題并發(fā)出警報,在部署前提供糾正措施;通過無縫 CI/CD 集成,大幅節(jié)省開發(fā)人員的時間,確保沒有漏洞蔓延到實際環(huán)境當中。在運行時,CloudGuard 工作負載無代理函數自我保護 (FSP) 層能夠從函數層面檢測并阻止 OWASP TOP 10 攻擊,如注入、失效的身份認證、過多的權限和敏感數據泄漏;同時為每個函數生成高度準確的行為配置文件,阻止異常情況。
防止無服務器錯誤配置
- 自動應用強化
CloudGuard 能夠在部署前后分析無服務器應用代碼,幫助最大限度改善應用安全狀況、減小攻擊面,并簡化治理。
此外,CloudGuard 還通過 CloudGuard Dome9 直觀界面為整個無服務器生態(tài)系統(tǒng)(函數、觸發(fā)器、第三方庫等)提供全面的統(tǒng)一視圖。聚焦安全的可視化界面可顯示所有輸入和觸發(fā)器及潛在風險。
盡可能減小攻擊面
CloudGuard 突破性的深層代碼流分析技術能夠檢測配置風險,并自動生成最低級別的功能權限。該解決方案可清楚地概述推薦的修復步驟,幫助推動大規(guī)模修復安全狀況的工作。
此外,CloudGuard 還可以檢測配置問題并發(fā)出警報,例如未關聯的觸發(fā)器和過度配置的函數超時配置。該產品能夠持續(xù)掃描函數,查找已知漏洞和蘊藏的風險,確保應用不會遭受攻擊。
自動評測函數和應用行為
CloudGuard 能夠持續(xù)掃描無服務器基礎設施、代碼和運行時環(huán)境。CloudGuard 利用機器分析和深度學習算法,構建出應用和函數正常行為模型,包括在資源層面自動創(chuàng)建操作白名單。您可以進一步定義自定義策略,并根據函數級別實施行為。
準確快速地檢測
并阻止無服務器應用攻擊
根據已學習的函數情景,CloudGuard 提供動態(tài)保護,并從調用時起開啟自動保護。CloudGuard 的函數自我保護 (FSP) 功能可檢測應用層攻擊、發(fā)出警報并加以阻止,如無服務器 OWASP Top 10 攻擊和獨立于攻擊觸發(fā)器的異常活動。
使用 CLOUDGUARD
阻止無服務器攻擊的示例
CloudGuard 阻止代碼注入攻擊的示例圖:
