雲原生技術名詞註解

參考本指南以了解雲原生服務及其優勢。

單體式應用程式是一個根據邏輯執行、以單一實體形式進行建構及部署的程式,它包括所有功能,如 UI、業務邏輯及資料存取碼等。

利用小型及單一實體開始使用新的應用程式可以更容易進行開發、部署及測試。

非組件化。難以更新、修改規模或更新科技組合(更新 / 現代化應用程式的某些功能)。

DevOps 是開發應用程式的一個方式,由多組工程師分別負責不同部份(相對於整體應用程式),並著重工序自動化。

  • 降低交接數目、準備時間/佇列的低效率、編碼錯誤、發佈時間及部署風險。
  • 強化編碼質素及可靠性。
     

持續整合 / 持續部署

  • 持續整合——隨時整合及確認更改應用程式的編碼,並在交付前以不同方式進行測試。DevOps 工具可協助合併編碼,防止因多名開發人員同時作出改動時所造成的同時衝突。集中處理測試及編碼質素優化可以節省開發時間。
  • 持續部署——在測試 CI 及確認對應用程式的新變更後,持續部署會自動將這些變更推送至測試及生產環境,讓開發人員專注於開發及加快與用戶的反饋程序。
     
DevOps / CICD

微服務為基的應用程式由獨立的組件合成,在應用程式的程序上以服務形式運行。它們以鬆散方式連接,並透過 API 進行傳輸。

  • 鬆散連接方式令它更容易進行更改,及可在不影響整個編碼庫的情況下加入新服務。
     

微服務架構十分重要,用戶沒有它雖然仍可以使用如容器等雲原生科技,但卻不能盡享微服務架構的優點。

Monolithic and Microservices Architectures diagram

編碼資料儲存體保存所有支援軟件開發計劃的編碼、文件、筆記及其他資源。

私有資料儲存體只限機構內人士存取。特別打造或專有的編碼通常都保存在私有資料儲存體內,以預防公眾或競爭對手取得資訊。

公有資料儲存體可讓公眾存取,並通常來自很多人的合作或輸入資料。其優勢為您可以節省很多開發專用編碼的時間,因為您想創建的可能已存在於公有資料儲存體中。

源碼可被任何人看到、修改及改善,它代表現代應用程式中超過 80% 的編碼。

與專有軟件有所不同,只有作者能看到、修改及改善。任何人都可以使用開放源碼軟件,但使用專有軟件則需要簽訂協議。

要確保用於編碼庫的開放源碼組件(及您可能不認識的次級組件)不會含有漏洞及其他問題,您可以選用軟件組合分析工具。

SCA – 偵測及追蹤機構編碼庫內的開放源碼組件,並協助開發人員管理及進行更新。SDLC 擁有不同程度的自動化程序 – 例如選擇及更新資料儲存體。令用戶更容易及更有效率地在 SDLC 的最早階段即可識別開放源碼問題,而無須待至部署之後。

  • 開發人員必須了解開放源碼相依元件對機構保安帶來的影響,而保安團隊也需要清楚開放源碼軟件所帶來的整體風險。
  • Trend Micro Cloud One™ - Open Source Security 協助保安運作團隊在應用程式元件識別開放源碼漏洞及使用證的風險,以加強可視性。保安團隊在討論風險時應將開放淡碼風險也包括在內,並需要了解直接 / 間接相依元件如何影響軟件物料清單、攻擊面及全面保安狀態。
  • 但這不等如保安可阻延業務的發展,你可以選擇 SCA 工具來整合至現有的應用程式開發與交付工具。應用程式永遠都不會是完美的,因此,對超出負荷的開發人員及 DevOps 團隊而言,為最迫切的漏洞排定優先次序就極為重要,這可讓開發人員與這個與日常任務無大分野的工具進行互動。
  • 為開放團隊部署易於縮放的開放源碼保安,並可按項目或清單文件收費。
     

雲原生應用程式一般需要支援的雲架構正常運作,基礎架構即代碼讓您可以自動取得運作應用程式所需的支援。

由於基礎架構即代碼只是一堆編碼(一些範本),您可以採用類似方式進行 DevOps 程序,以自動、一致及重覆地部署可持續改善及部署的雲架構。

確保現存基礎架構的設定及配置在作出手動變更時並未偏離原本屬意的狀態是一個重大挑戰。

快速實現在 CI/CD 流程的較早階段已採用 Trend Micro Cloud One™ – Conformity 來強化保安及合規。利用基礎架構即代碼範本掃瞄,範本可在編程過程中已即時在 Conformity API 上運行。

這可以啟動自動程序主動地預防配置錯誤,讓您放心支撐雲架構的編碼都是完全符合業界最佳實務守則,例如 AWS Well Architected Framework。

供基礎架構即代碼使用的 Conformity Template Scanner 包含在方案之內,無須另行付費,讓您可以在部署任何架構之前掃瞄及再次掃瞄範本,以辨識潛在風險。

物件式資料儲存是雲端一個具彈性及靈活儲存非結構化資料的方式,對需要可縮放架構支援的雲原生應用程式特別有用。

大規模的資料追蹤並非一項簡單任務,因此很多物件式資料儲存服務都會在可客製的元數據中提供某形式的物件標記。

  • 可用於顯示在下游的工作流程、應用生命週期政策(保留、刪除等)及收集關於電端開支及保安狀態的啟示。


普遍使用物件式資料儲存可引發難以抵擋惡意檔案的新攻擊媒介。Trend Micro Cloud One™ – File Storage Security 提供惡意程式掃瞄、整合至容製化的雲原生程序、支援廣泛的雲端儲存平台及其他創新技術,保護您的下游工作負載。您可以放心,所有進入雲端環境的資料檔案宦不會影響內部系統及對外形象。

可縮放保安可配合 File Storage Security 的物件式資料儲存及按物件資料儲存體數量付費掃瞄,小規模資料儲存體的收費將會更低。

雲端工作負載是雲端應用程式及運算的通用名詞。

演變自虛擬機器以包含容器、無伺服器功能、數據庫及其他使用雲端資源的服務。

傳統的雲端工作負載服務現已可提供不同作業系統、處理器種類及處理器配置的選擇,甚至包括特別為人工智能、機器學習及高性能運算打造的運算要求。

混合雲運算擁有不少優勢,不過亦帶來新的風險及威脅。機構必須確保遵守合規要求,並同時在所有工作負載維持統一的保安,包括實體伺服器、虛擬環境、雲端或容器。

Trend Micro Cloud One™ – Workload Security 專門為伺服器、雲端及容器環境而建,以單一方案提供全面的偵測與防護。不管是那種工作負載,此方案都可以提供一致而穩定的保安,其包羅萬有的 API 可自動化保安程序及不會影響團隊。

網絡保安工具涵蓋主機入侵防禦及漏洞掃瞄、偵測與阻截網絡攻擊及保護脆弱的應用程式和伺服器,並包括檔案一致性監控、反惡意程式及行為分析,可阻止針對性攻擊及偵測可疑活動。

雲原生虛擬補丁可檢查業務關鍵數據流及阻截惡意活動、偵測及預防入侵、阻撓針對網上應用程式的攻擊、與及保護雲端網絡、工作負載及容器。透過 TLS 解密及 Zero Day Initiative 研究,可快速回應利用已知及未知漏洞的威脅,且不會拖慢應用程式。

Workload Security 自動根據工作負載進行縮放,保護不斷變更的雲端環境。用戶只須為多重雲中每個受保護的工作負載按小時付費,小規模工作負載的收費將會更低。

容器是包含所有元件(配給檔案、資料庫、相依元件等)的軟件包,可在任何基礎架構的應用程式層面上運行。

傳統上,應用程式都是在獨特的運算環境上進行開發,並在不同環境上運作時會出現缺陷。利用容器化架構,開發人只可以更快建構及減少錯誤。

開發一個容器化應用程式是一回事,而管理容器部署又是另一個運作上的挑戰。很多機構都會採用 Kubernetes 來協助自動化程序,例如部署及縮擴。假如您正在使用 Kubernetes,您的容器將被置於在節點上運行的數據倉之內,而這些節點是集群的一部份。

很多機構都會試圖以託管式 Kubernetes 服務來卸除額外的成本,因為部署不同層面及擴展 Kubernetes 的程序會比單純加入多些容器更為複雜。

Kubernetes 集群

託管式 Kubernetes 服務可支援數據倉及各集群的自動縮擴,在用戶選擇轉移部署至不同基礎架構時加強可靠性及可攜性。其他如補丁及更新主機等程序亦包括在內。

減低管理容器架構複雜性的另一個選項就是使用無伺服器容器,這是容器即服務的一種。它可減低管理支援容器架構的元件的需要,如集群及虛擬機器。容器即服務的另一好處就是讓用戶可以存取深層的架構。

容器的生命週期可能短至只有數分鐘,甚至只有數秒,因此很難準確指出其攻擊面及保安狀態。您需要一個可以保護整個容器生命週期、並在容器部署期間可調整偵測與防護的容器保安方案。

無論您的容器部署狀況為何,Trend Micro Cloud One™ – Container Security 都可以協助保護您的應用程式。從自動化建構流程中的容器影像及記錄掃瞄開始,它是專門為開發人員及運作團隊設計。

Container Security 可以更早及更快偵測惡意程式、秘密/鑰匙、違規及漏洞,包括在開放源碼上的漏洞。

DevOps 團隊可以持續交付可即時投產的應用程式,及在不影響建構週期的情況下達致業務需求。

您的容器環境可以根據業務需求進行縮擴,您的保安方案亦應該同樣靈活以支援業務關鍵的雲原生應用程式。Cloud One – Container Security 只會按每個受保護的容器節點或無伺服器容器收費。

無伺服器功能將萃取的概念更進一步,可完全減低管理任何基礎架構的需要,您所需要的就是選定您想運行的編碼,而其他的則由服務商負責。

每次您的無伺服器功能運作時,雲服務商會啟動所需的架構並根據您的用量收費。假如您的無伺服器功能並未運作,您將不用付費。

Trend Micro Cloud One™ – Application Security 可以保護您的無伺服器功能免受最普遍的運作期攻擊影響,包括 SQL 注入攻擊、遙距指令執行、非法存取檔案、惡意上載、網址重新導向、有效負載及其他。

為網上應用程式的保安狀態取得視野,在最少影響系統效能的情況下監察至最脆弱的編碼行列。

在無伺服器功能內,應用程式及 Application Security 是密不可分的,以確保無伺服器功能不會在不安全的情況下被啟動。

由於您的雲服務商會根據您的無伺服器功能啟動的次數來收費,為有關應用程式而設的保安是否亦應該一樣? Application Security 以每 1000 次啟動為標準收費,因此您只須為運作的應用程式付費。

雲端帳號讓雲架構師登入以存取雲服務及資源。它看來很簡單,但實際上這些帳號代表了人類用戶及非人類 / 機器的身份,因此也有一定的複雜性。機器身份包括工作負載應用程式、運作工具及其他組件。機構可以設定政策指定雲端帳號可以存取的資源、服務、行動及其他權利。

以下 3 家超大規模雲服務商都以不同角度看待這個概念:

  • AWS:視之為帳號、可存取範圍及使用限制等,而這些都會在帳戶層面進行管理。多個不同的 AWS 帳號可以合併為一個付費 / 管理帳號,不過 IAM、API 存取及其他政策則需要在 AWS 帳戶層面進行。
  • Azure:一如所料,Azure 會查看機構的 Active Directory,並將其身份轉化至 Azure 之內。
  • GCP: 您可以將機構設定為雲端資源的單一範圍,不過很多都會選擇透過自己的 IAM 政策建立不同的項目。
     

以 Trend Micro Cloud One™ - Conformity 簡易管理在 AWS、Azure 及 GCP 等雲服務的配置。連繫雲端帳戶,您馬上可以對雲端保安狀態擁有全面視野。Conformity 採用客製化存取政策,無須讀取或寫入資料即可檢視雲端帳戶元數據的配置設定。

通常,擔心公有雲服務是否安全配置的團隊都並非是部署公有雲服務的團隊, Conformity 可整合不同的溝通渠道及工作流程系統,確保適當的人員可以收到正確的資訊,在不拖慢開發人員步伐的情況下修正錯誤的配置。

全面啟用 API,可在重覆工序上以自動化取代人手操作,減低出錯機會。融合 DevOps,無須擔心因錯誤配置而在雲端基礎架構產生保安漏洞。

無論您是一家遷移往雲端的大企業還是一家雲優先的初創企業,Conformity 可以協助您快速取得視野,並以靈活價格改善多重雲的保安狀態。您只須為每個連繫至 Conformity 的雲端帳號付費,而擁有較少資源的小型帳號的收費更低。

在公有雲使用私有網絡讓用戶可以在指定的虛擬網絡部署資源,建立大致類似傳統數據中心形式的網絡。在私有網絡的資源將與公有雲內的其他資源分隔。

程序包括開通分支網絡(OSI 模型中的第三層)、預留 IP 位址來分隔公有雲網絡作私用與及虛擬化本域網絡(Layer 2)作為虛擬網絡的一部份。

虛擬網絡可以利用傳送資訊路徑選擇表及網絡位址轉化來進一步客製化。虛擬私有網絡可透過私有及安全的連線連接駐場架構至雲端虛擬網絡。

快速為網絡保安層取得企業級偵測與防護,以保護在虛擬私有雲的所有資產。在雲端網絡基本結構上部署,您可以很容易及快速的保護基礎架構及網絡分段,而不會拖慢業務或網絡流量。

Trend Micro Cloud One™ – Network Security 的內網及透明的部署方式可切合您的現有雲端架構,讓您可以馬上開始流量檢查,而不會影響業務應用程式或需要建立額外網絡連線。

緊貼雲端速度的網絡保安提供靈活的按需付費價格模式,讓您只須為所檢查的每 GB 流量付費。

馬上開始!