無服務(wù)器安全
專為無服務(wù)器架構(gòu)而打造
產(chǎn)品優(yōu)點
- 檢測攻擊并提供動態(tài)保護(hù)
- 自動修復(fù)無服務(wù)器錯誤配置
- 盡可能減小無服務(wù)器攻擊面
- 將 CI/CD 的無服務(wù)器安全防護(hù)“左移”
產(chǎn)品特點
- 自動生成最低權(quán)限的 IAM 角色
- 函數(shù)自我保護(hù),持續(xù)掃描函數(shù)中是否存在漏洞和潛在威脅
- 深層代碼流分析,確保應(yīng)用強(qiáng)化和最低權(quán)限訪問
- CloudGuard Dome 9 集成,實現(xiàn)集中化可見性、持續(xù)狀況管理和集成警報
- 與 Splunk、Slack、Jira、Amazon CloudWatch 等第三方相集成,進(jìn)行實時警報
洞察
無服務(wù)器應(yīng)用需要專用的安全方法。對于無服務(wù)器應(yīng)用從開發(fā)到運行時這一完整過程,Check Point CloudGuard 可帶來無與倫比的可見性、安全性和的全面控制。
解決方案
Check Point CloudGuard 實現(xiàn)了無服務(wù)器 FaaS 應(yīng)用從開發(fā)到運行時這一完整安全生命周期的自動化。CloudGuard Dome9 能夠檢測安全狀況方面的問題并發(fā)出警報,在部署前提供糾正措施;通過無縫 CI/CD 集成,大幅節(jié)省開發(fā)人員的時間,確保沒有漏洞蔓延到實際環(huán)境當(dāng)中。在運行時,CloudGuard 工作負(fù)載無代理函數(shù)自我保護(hù) (FSP) 層能夠從函數(shù)層面檢測并阻止 OWASP TOP 10 攻擊,如注入、失效的身份認(rèn)證、過多的權(quán)限和敏感數(shù)據(jù)泄漏;同時為每個函數(shù)生成高度準(zhǔn)確的行為配置文件,阻止異常情況。
防止無服務(wù)器錯誤配置
- 自動應(yīng)用強(qiáng)化
CloudGuard 能夠在部署前后分析無服務(wù)器應(yīng)用代碼,幫助最大限度改善應(yīng)用安全狀況、減小攻擊面,并簡化治理。
此外,CloudGuard 還通過 CloudGuard Dome9 直觀界面為整個無服務(wù)器生態(tài)系統(tǒng)(函數(shù)、觸發(fā)器、第三方庫等)提供全面的統(tǒng)一視圖。聚焦安全的可視化界面可顯示所有輸入和觸發(fā)器及潛在風(fēng)險。
盡可能減小攻擊面
CloudGuard 突破性的深層代碼流分析技術(shù)能夠檢測配置風(fēng)險,并自動生成最低級別的功能權(quán)限。該解決方案可清楚地概述推薦的修復(fù)步驟,幫助推動大規(guī)模修復(fù)安全狀況的工作。
此外,CloudGuard 還可以檢測配置問題并發(fā)出警報,例如未關(guān)聯(lián)的觸發(fā)器和過度配置的函數(shù)超時配置。該產(chǎn)品能夠持續(xù)掃描函數(shù),查找已知漏洞和蘊(yùn)藏的風(fēng)險,確保應(yīng)用不會遭受攻擊。
自動評測函數(shù)和應(yīng)用行為
CloudGuard 能夠持續(xù)掃描無服務(wù)器基礎(chǔ)設(shè)施、代碼和運行時環(huán)境。CloudGuard 利用機(jī)器分析和深度學(xué)習(xí)算法,構(gòu)建出應(yīng)用和函數(shù)正常行為模型,包括在資源層面自動創(chuàng)建操作白名單。您可以進(jìn)一步定義自定義策略,并根據(jù)函數(shù)級別實施行為。
準(zhǔn)確快速地檢測
并阻止無服務(wù)器應(yīng)用攻擊
根據(jù)已學(xué)習(xí)的函數(shù)情景,CloudGuard 提供動態(tài)保護(hù),并從調(diào)用時起開啟自動保護(hù)。CloudGuard 的函數(shù)自我保護(hù) (FSP) 功能可檢測應(yīng)用層攻擊、發(fā)出警報并加以阻止,如無服務(wù)器 OWASP Top 10 攻擊和獨立于攻擊觸發(fā)器的異常活動。
使用 CLOUDGUARD
阻止無服務(wù)器攻擊的示例
CloudGuard 阻止代碼注入攻擊的示例圖:
