DevSecOps

Prisma® Cloud 可為雲端原生基礎結構和應用程式提供自動化安全性,並與開發人員工具進行整合

雲端原生應用程式開發不但速度快且相當複雜。這對於安全團隊來說無疑是一項艱難的挑戰。不過,DevOps 做法能讓您有機會在部署之前使用自動化來保護應用程式和基礎結構,以藉此減輕壓力。

深入了解如何將您的雲端安全性測試左移

可在所有現代化架構雲端環境中保護 IaC、容器映像和原始程式碼的單一工具。

Prisma Cloud 可將全面的安全性嵌入整個軟體開發週期。該平台可在 IaC 範本、容器映像和 Git 儲存庫中識別各種弱點、錯誤設定和合規性違規。它可提供開放原始碼社群所支援的 IaC 掃描,並藉由多年累積的容器專業知識和威脅研究來支援映像分析。透過集中化可視性和政策控制,工程團隊可確保其完整堆疊的安全而無需放棄原有的工具,同時安全團隊也可確保只會部署安全的程式碼。
  • 支援多語言、執行階段和框架
  • 從建置階段到執行階段的一致控制
  • 內嵌在 DevOps 工具中
  • 基礎結構即程式碼掃描
    基礎結構即程式碼掃描
  • 容器映像掃描
    容器映像掃描
  • 政策即程式碼
    政策即程式碼
  • 偏差偵測
    偏差偵測
  • 密碼掃描
    密碼掃描
  • Git Repo 弱點管理
    Git Repo 弱點管理
  • OSS 授權合規性
    OSS 授權合規性

PRISMA CLOUD 解決方案

我們的 DevSecOps 方法

基礎結構即程式碼掃描

基礎結構即程式碼讓您有機會能確保雲端基礎結構程式碼的安全性,再將其部署至生產環境中。Prisma Cloud 可針對 Terraform、CloudFormation、Kubernetes、Dockerfile、無伺服器和 ARM 範本,使用自動化並將安全性嵌入至 DevOps 工具的工作流程以簡化整個軟體開發生命週期的安全性。

  • 自動化程式碼中的雲端錯誤設定檢查

    針對軟體開發生命週期的每個步驟,新增對於錯誤設定的自動化檢查。

  • 充分利用開放原始碼和社群的能力

    Checkov 是由 Bridgecrew 所建立、用來增強其建置階段掃描功能的開放原始碼工具,並由一個活躍的社群所支援,下載次數已超過數百萬次。

  • 將錯誤設定檢查嵌入開發人員工具中

    Bridgecrew 隨附對於 IDE、VCS 和 CI/CD 工具的原生整合,可協助開發人員保護現有工作流程中的程式碼。

  • 包含對於錯誤設定的深入脈絡

    Bridgecrew 會自動追蹤 IaC 資源的相依性以及最新的開發人員修改程式,可提升大型團隊中的相互協作。

  • 提供自動化的意見回饋和程式碼修正程式

    自動化對於錯誤設定的提取要求,以及針對已識別的錯誤設定自動化提取要求和交付修正程式。


容器映像掃描

容器映像是雲端原生應用程式的關鍵元件。不過它們通常會包含許多開發人員控制範圍以外的資源,例如各種作業系統和設定。Prisma Cloud 可讓安全團隊針對容器映像中的弱點和合規性違規提供意見回饋和防護措施並付諸實行,以保護這些元件的安全。

  • 識別容器映像中的弱點

    使用 twistcli,在內建於容器映像層的作業系統和開放原始碼套件中識別出各種弱點。

  • 提供修正狀態和補救指南

    提供開發人員修正狀態、待補救的最低版本以及修正發佈後的時間,以排定更新套件的優先順序。

  • 依嚴重性等級發出警示或封鎖弱點

    增加防護措施,若有任何映像的弱點不符合嚴重性等級需求即將其封鎖,以防止其進入生產環境中。

  • 實現程式碼中的容器合規性

    檢查您的容器映像相依性和設定,找出違反 CIS 等常用基準的情況以及如惡意軟體等建置階段中的專屬問題。

  • 確保對於容器映像的信任

    利用建置階段掃描和信任的登錄以強化映像,確保容器映像供應鏈的安全。

  • 在軟體開發生命週期中進行整合

    將安全性意見回饋和防護措施嵌入至常用的 CI/CD 工具、VCS 和登錄。


政策即程式碼

以往,個別的企業會使用個別的工具、建立各自孤立且難以複製的控制項來執行傳統的安全測試。Prisma Cloud 的「政策即程式碼」方法可提供內建於程式碼的控制項,以藉由即時程式碼儲存庫進行複製、透過版本進行控制及測試。

  • 使用程式碼來建立及控制政策

    在 Python 和 YAML 中為 IaC 範本定義、測試並以版本控制檢查清單、省略清單和圖形式自訂政策。

  • 以程式碼部署及設定帳戶和代理程式

    使用 Terraform 將帳戶上線、部署代理程式並設定執行階段政策,包括以 OpenAPI 和 Swagger 檔案為基礎的擷取和防護。

  • 利用立即可用的自訂修正程式來修正錯誤設定

    Prisma Cloud 提供數百種內建於程式碼且立即可用的自訂修正程式,可讓您新增雲端資源和 IaC 範本的自訂修正程式。

  • 直接向撰寫中的程式碼提供意見回饋

    IaC 範本可透過自動修正、提取/合併要求註解,以及提取/合併要求自動修正來提供意見回饋。


偏差偵測

基礎結構即程式碼只有在完全與執行中的雲端環境同步時才能發揮價值。不過,「打破玻璃的那一刻」以及各自孤立的團隊將會導致雲端偏差,使執行階段環境不符合 IaC 狀態。充分利用 Bridgecrew 以遵循 GitOps 最佳實務並快速識別及補救偏差。

  • 識別雲端中的偏差

    Bridgecrew 可提供簡化的方法,在 IaC 與 AWS、Azure 和 GCP 等雲端環境之間識別偏差。

  • 提供以程式碼形式呈現的偏差

    Bridgecrew 會自動將雲端狀態轉換為程式碼,使您可以比較執行中雲端狀態與 IaC 範本之間的差異。

  • 使用追蹤功能來簡化程式碼與雲端資源協調

    在識別錯誤設定之後,Bridgecrew 就可加入中繼數據以快速識別需要由開發人員修正的程式碼行。

偏差偵測

密碼掃描

惡意攻擊者只需要幾分鐘的時間就能在線上找到並濫用遭暴露的憑證。您可以使用 Prisma Cloud 在進入生產環境之前識別密碼。使用特徵碼和啟發式學習法,在開發環境和建置階段中尋找並移除 IaC 範本和容器映像中的密碼。

  • 在 IaC 範本中尋找密碼

    使用 IDE、CLI、預先交付和 CI/CD 工具,在 IaC 範本中識別密碼和語彙基元。

  • 識別容器映像中的密碼

    在本機的容器映像、登錄和 CI/CD 掃描中尋找硬式編碼的密碼。

  • 使用多重方法來識別密碼

    使用規則運算式、關鍵字或 Entropy 式識別碼來找出常見和不常見的密碼,例如 AWS 存取金鑰和數據庫密碼。

密碼掃描

Git 儲存庫弱點管理

大部分現代應用程式的程式碼都是由開放原始碼相依性所組成。意識的欠缺以及重大的變化都會讓開發人員無法使用最新的套件來將弱點降到最低。Prisma Cloud 可藉由在 Node.js、Python、Java 和 Go 儲存庫中發現的開放原始碼相依性識別弱點。

  • 建立軟體材料清單

    Prisma Cloud 可在儲存庫中找出相依性,並為使用中的套件建立一份軟體材料清單 (SBOM) 以進行檢查。

  • 根據開放原始碼和專屬數據庫確認相依性的安全性

    Prisma Cloud 會掃描 Git 儲存庫和非 Git 儲存庫以找出套件弱點,並將其與 NVD 和 Prisma Cloud Intelligence Stream 等公用數據庫進行比較。

  • 包含補救指南

    發現的結果將包含修正狀態、待補救的最低版本以及修正發佈後的時間,以排定更新程式庫的優先順序。

Git 儲存庫弱點管理

OSS 授權合規性

每家公司對於開放原始碼授權都有自己可接受的使用政策。然而合規性問題刻不容緩,切勿等到手動合規性審查時才發現您的開放原始碼程式庫並不合規。Prisma Cloud 會將開放原始碼授權編入相依性目錄,並根據可自訂的政策發出警示或封鎖儲存庫交付。

  • 避免代價昂貴的開放原始碼授權違規

    根據 Node.js、Python、Java 和 Go 相依性中的開放原始碼套件授權來發出警示及封鎖建置。

  • 掃描 Git 和非 Git 儲存庫以找出問題

    雖然 Prisma Cloud 是與 GitHub 進行原生整合,不過仍可使用 twistcli 掃描任何儲存庫。

  • 使用預設規則或可自訂的警示和封鎖動作

    依授權類型設定警示及封鎖閾值以符合著作傳和許可授權的內部需求。

OSS 授權合規性