雲端原生技術名詞解釋

單體式 (monolithic) 應用程式指的是那些打造成單一執行單元並部署成單一個體的應用程式。程式中包含了所有的功能，如：使用者介面、商業邏輯、資料存取程式碼等等。

將新的應用程式打造成一個小巧、單一的個體，會比較容易開發、部署及測試。

非模組化。不容易更新、擴充或升級其中的技術 (更新/現代化應用程式的某些功能)。

程式碼儲存庫是用來保管所有的程式碼、文件、備註及其他軟體開發專案的輔助資源。

私人儲存庫只允許企業內人員存取。通常，客製或專屬的程式碼會保存在私人儲存庫內，以防止大眾或競爭對手取得這些資訊。

公開儲存庫則是一般大眾都能存取，並且通常仰賴多方人士的協同合作與貢獻。優點是您可省下許多程式開發時間，因為您想開發的程式或許公開儲存庫已有現成的程式碼可用。

任何人都能檢視、變更或改進的原始程式碼。這部分大約占了今日應用程式 80% 以上的程式碼。

有別於專屬軟體只有作者能夠檢視、變更或加以改進。任何人都能使用開放原始碼軟體，但如果要使用專屬軟體則需要簽署合約。

為了確保開放原始碼元件 (以及一些您可能不知道的子元件) 在併入到企業程式碼時不會帶來漏洞和其他的問題，企業通常會使用一種叫做軟體組成分析 (SCA) 的工具。

SCA – 偵測並追蹤企業程式碼中的開放原始碼元件，並協助開發人員管理及更新開放原始碼。在系統開發生命週期 (SDLC) 當中，通常會有各種不同程度的自動化，例如挑選和更新儲存庫。盡可能在系統開發生命週期的前期 (遠在部署到營運環境之前) 發現開放原始碼的問題，做起來將更容易也更有效率。

• 對開發人員來說，了解開放原始碼相依元件為企業帶來的資安問題固然重要，但資安團隊也應掌握企業在開放原始碼軟體方面的整體風險。
• Trend Micro Cloud One™ - Open Source Security 可讓資安營運團隊發掘各種應用程式元件的開放原始碼漏洞與授權風險，同時提升可視性。資安團隊應將開放原始碼的風險納入更大範圍的風險考量當中，並了解開放原始碼的直接/間接相依元件如何影響其軟體材料清單 (BOM) 、受攻擊面，以及整體的資安情勢。
• 這並非意味著資安必定會拖慢速度，您可尋找一套能與您現有應用程式開發/交付工具整合的 SCA 工具。應用程式絕不可能完全沒問題，因此，優先解決最迫切的漏洞，就是避免開發和 DevOps 團隊疲於奔命的重要關鍵。重點在於，要讓開發人員在使用這套工具時，幾乎完全不需改變他們原本日常的作業方式。
• 此外還要能隨著您的開發團隊需求輕鬆擴充開放原始碼防護，並且按專案或 manifest 檔案數量計費。
   

雲端原生應用程式需仰賴底層雲端基礎架構的正常運作，基礎架構程式碼 (Infrastructure as code，簡稱 IaC) 可讓您自動配置所需的基礎架構來執行您的應用程式。

由於 IaC 只不過是 (範本中的) 程式碼，因此您也可以套用類似 DevOps 流程的方式來讓您自動、一致、可重複地持續改善及部署雲端基礎架構。

要確保「營運」基礎架構的組態設定沒有偏離應有的狀態，如果採用手動作業的維護方式會是一項挑戰。

採用 Trend Cloud One™ – Conformity 來快速實現將資安與法規遵循盡可能移到 CI/CD 流程前期的價值。我們的基礎架構程式碼 (IaC) 範本掃瞄器可在程式開發階段透過 Conformity API 來立即執行範本。

如此就能自動且主動防範組態設定錯誤，讓您安心地知道支撐您雲端基礎架構的程式碼完全符合產業最佳實務原則，例如：AWS Well Architected Framework。

Conformity Template Scanner 基礎架構程式碼掃描器已隨附在該服務中，無須額外付費，所以您可以在部署任何基礎架構之前不斷重複掃描您的範本來發掘潛在風險。

雲端內物件儲存是一種儲存非結構化資料的彈性方式，尤其對於一些需要底層基礎架構能夠擴充的雲端原生應用程式來說更是好用。

要追蹤大量資料不是一件簡單的工作，所以許多物件儲存服務提供了一種使用客製化 metadata 來標記物件的方式。

• 這種作法可用於：通知下游流程、套用生命週期政策 (例如保存、刪除期限等等)，以及提供有關雲端成本與資安狀態的資訊。
  
  
  

物件儲存的大量使用帶來了新的攻擊管道，成為惡意檔案的散播途徑。Trend Cloud One™ – File Storage Security 能保護您的下游流程，提供惡意程式掃描、與您的客製化雲端原生流程整合、廣泛支援各種雲端儲存平台，還有各種其他創新技巧。您將可放心您的資料檔案進入到雲端之後不會影響到您的內部系統或外在商譽。

File Storage Security 讓您的防護能隨著雲端物件儲存而擴充，同時又能按掃描的物件儲存庫數量付費，小型儲存庫的費用較為便宜。

雲端工作負載是雲端應用程式/運算工作的一個統稱。

此概念從虛擬機器演化而來，並且進一步涵蓋容器、無伺服器功能、資料庫以及其他會消耗雲端資源的服務。

傳統的雲端工作負載服務現在提供了比以往更多樣化的功能選項，包括：作業系統、處理器類型、處理器組態，甚至還包含人工智慧、機器學習、高效能運算 (HPC)。

混合雲運算確實有很多優點，但卻也存在著新的風險和威脅。企業必須達到法規遵循要求，並且確保所有工作負載都維持一致的安全性，包括：實體伺服器、虛擬、雲端以及容器。

Trend Cloud One™ – Workload Security 在單一解決方案當中提供了全方位的偵測及防護，而且是專為伺服器、雲端及容器環境打造。Workload Security 不論面對何種工作負載都能提供一致的防護，同時更提供了一套豐富完整的 API 來讓您將防護自動化，避免干擾您的團隊運作。

網路防護工具 (如主機入侵防護與漏洞掃描) 可偵測並攔截網路攻擊，保護含有漏洞的應用程式和伺服器。而檔案一致性監控、惡意程式防護以及行為分析，則可攔截針對性攻擊並偵測可疑活動。

雲端原生虛擬修補可檢查及攔截營運關鍵流量中的惡意活動，偵測並防範駭客入侵，防止對外網站應用程式遭到攻擊，為雲端網路、工作負載及容器提供適應性防護。善用 TLS 解密與 Zero Day Initiative 漏洞懸賞計畫的研究來快速回應專門攻擊已知及未知漏洞的威脅，且不拖慢您的應用程式。

Workload Security 能自動隨著您的工作負載而擴充，持續守護您不斷變化的雲端環境。它可根據您多重雲端環境所有受保護的工作負載數量來按小時計費，而小型工作負載也較為便宜。

容器是一種包含所有必要元素 (組態設定檔案、函式庫、相依元件等等) 以便讓應用程式在任何基礎架構上都能執行並且將應用程式層抽象化的軟體套件。

傳統上，應用程式都是在某特定運算環境上開發，而且一旦拿到不同的環境執行就經常會出現錯誤。藉由一種容器化的架構，開發人員就能加快開發速度並減少程式錯誤。

開發容器化應用程式是一回事，但容器部署的管理則是一項營運挑戰。許多企業都採用 Kubernetes 來將一些流程自動化，例如部署和擴充。如果您正在使用 Kubernetes，您的容器將被放在所謂的 Pod 當中，並且在節點 (Node) 上執行，而這些節點則隸屬於某個叢集。

許多企業都希望能透過託管式 Kubernetes 服務來減輕更多負擔，因為 Kubernetes 的部署工作包含了多個不同層面，因此擴充過程遠比單純地「增加更多容器」來得複雜。

託管式 Kubernetes 服務提供了 Pod 內部與橫跨叢集的自動擴充能力，能提升可靠性與可攜性，方便您將部署環境移到不同的基礎架構上。此外也包含了一些其他流程，如修補與更新主機。

另一個可降低容器基礎架構管理複雜性的選項是使用無伺服器容器，這屬於容器服務 (Containers-as-a-service) 的一種。無伺服器容器可消除必須管理容器基礎架構底層元素 (如叢集和虛擬機器) 的需求。此外，也有其他類型的容器服務允許使用者存取底層基礎架構。

由於容器的生命週期最短可能只有幾分鐘，甚至幾秒鐘，因此要精確掌握您的受攻擊面和資安狀況變得相當困難。您可尋找一套能夠保護您整個容器生命週期的容器防護解決方案，並且要隨著您的容器部署而擴充偵測及防護能力。

無論您容器部署的抽象化程度如何，Trend Cloud One™ – Container Security 都能協助您保護應用程式。首先是自動化建構流程容器映像與登錄掃描，這是專為開發人員和營運團隊所設計。

Container Security 可更早、更快偵測惡意程式、機密/金鑰、法規遵循問題以及漏洞，包含出現在開放原始碼中的問題。

DevOps 團隊可持續交付可直接上線營運且滿足業務需求的應用程式而不影響建構流程。

由於您的容器環境會隨著您的業務需求而擴充或縮編，您可尋找一套能同樣彈性支援您營運關鍵雲端原生應用程式的防護解決方案。Cloud One – Container Security 會根據您受保護的容器節點數量或受保護的無伺服器容器數量來計費。

無伺服器功能讓抽象化又更上層樓，您完全不須管理任何基礎架構，只需提供您要執行的程式碼，其餘一切都交由雲端供應商幫您搞定。

每當您的無伺服器功能被呼叫時，雲端供應商就會啟動必要的基礎架構，並根據您的用量來計費。如果您的無伺服器功能從未被呼叫，那您完全不會被收取費用。

Trend Cloud One™ – Application Security 可保護您的無伺服器功能，防範最常見的執行時期攻擊，包括：SQL 資料隱碼攻擊 (SQL injection)、遠端指令執行、非法檔案存取、惡意上傳、網址重導、惡意檔案等等。

掌握您網頁應用程式資安狀況的可視性，甚至精細到有問題的那一行程式碼，且幾乎不影響效能。

Application Security 會直接融入無伺服器功能當中，與您的應用程式密不可分，能確保您的無伺服器功能不會在不安全的情況下被呼叫。

由於您的雲端供應商是根據您無伺服器功能被呼叫的次數來計費，那麼對應的防護不也應該如此？ Application Security 的收費方式是以每 1,000 次呼叫為一次計費單位，因此只有當您的應用程式有執行時才需要付費。

雲端帳號是雲端開發人員用來登入並存取雲端服務與資源的帳號。聽起來簡單，但這些帳號很可能包括了人類用戶以及非人類/機器帳號，使得事情變得複雜。機器帳號可能代表的是您的雲端工作負載/應用程式、營運工具，或是其他元件。在政策設定時可指定雲端帳號能存取的資源、服務、動作以及其他權利。

目前三大主流雲端廠商對這個概念各有不同的定義：

• AWS：AWS 稱之為帳號、存取邊界、用量極限等等，這些項目都是在帳戶層次管理。多個 AWS 帳號可以彙整到一個計費/管理帳戶，但身分管理 (IAM)、API 存取與其他政策則是設定在 AWS 帳號層次。
• Azure：可想而知，Azure 並定是與企業本身的 Active Directory (AD) 同步，每一個 AD 內的身分都直接變成 Azure 上的身分。
• GCP：您可將整個企業當成雲端資源的邊界，不過有許多企業會選擇建立個別的「專案」，每個專案各有自己的 IAM 政策。
   

採用 Trend Cloud One™ - Conformity 來輕鬆管理 AWS、Azure 及 GCP 的雲端服務組態設定。連結您的雲端帳號，幾分鐘內，您就能看到雲端的整體資安狀況。Conformity 使用一種客製化存取政策來檢視您雲端帳號的 metadata 組態設定，因此無須讀取或寫入您的資料。

那些需要擔心公有雲服務組態設定安全的團隊，通常不是負責部署的團隊。Conformity 可與許多不同的通訊及工作流程系統整合，確保適當的人員擁有適當的資訊來矯正組態設定錯誤，且不拖慢開發人員速度。

經由 API 徹底自動化，消除手動執行重複性工作容易出錯的人為因素。擁抱 DevOps 卻不需擔心雲端基礎架構因組態設定不當而造成資安漏洞。

不論您是一家正在移轉至雲端的大型企業，或是一家雲端優先的新創公司，Conformity 都能協助您快速掌握並改善您多重雲端資安狀態的可視性，並且提供您彈性的定價。您只需按您與 Conformity 連結的雲端帳號數量來付費，且資源較少的小型帳號支付的費用較少。

在雲端內使用私人網路可讓使用者將資源部署到一個定義好的虛擬網路內部，有點像部署在傳統資料中心網路上一樣。私人網路內的資源會與其他公有雲內的資源互相隔離。

要達成這點，可透過配置子網路 (OSI 模型第 3 層)、保留某些 IP 範圍將公有雲網路切出一段網路供私人使用，再加上虛擬區域網路 (Virtual LAN，第 2 層)。

此外，虛擬網路還可利用路由表和網路位址轉譯來進一步客製化。同時，也可利用 VPN 透過私密安全的連線來連接企業內基礎架構與雲端的虛擬網路。

立即獲得企業級網路層偵測及防護來保護您 VPC 上的一切。部署在雲端網路架構內部，讓您輕鬆迅速保護基礎架構與各個網段，提供立即採取行動的防護，又不拖慢您的商業流程或網路流量。

Trend Cloud One™ – Network Security 採用透通在線式 (in-line ) 部署，配合您既有的雲端架構，讓您立即開始檢查網路流量而不中斷企業應用程式或已建立的網路連線。

這套能跟上您雲端速度網路防護採用彈性的按用量付費定價模式，您只需按您檢查的流量多寡 (GB) 來付費。