无服务器安全
专为无服务器架构而打造
产品优点
- 检测攻击并提供动态保护
- 自动修复无服务器错误配置
- 尽可能减小无服务器攻击面
- 将 CI/CD 的无服务器安全防护“左移”
产品特点
- 自动生成最低权限的 IAM 角色
- 函数自我保护,持续扫描函数中是否存在漏洞和潜在威胁
- 深层代码流分析,确保应用强化和最低权限访问
- CloudGuard Dome 9 集成,实现集中化可见性、持续状况管理和集成警报
- 与 Splunk、Slack、Jira、Amazon CloudWatch 等第三方相集成,进行实时警报
洞察
无服务器应用需要专用的安全方法。对于无服务器应用从开发到运行时这一完整过程,Check Point CloudGuard 可带来无与伦比的可见性、安全性和的全面控制。
解决方案
Check Point CloudGuard 实现了无服务器 FaaS 应用从开发到运行时这一完整安全生命周期的自动化。CloudGuard Dome9 能够检测安全状况方面的问题并发出警报,在部署前提供纠正措施;通过无缝 CI/CD 集成,大幅节省开发人员的时间,确保没有漏洞蔓延到实际环境当中。在运行时,CloudGuard 工作负载无代理函数自我保护 (FSP) 层能够从函数层面检测并阻止 OWASP TOP 10 攻击,如注入、失效的身份认证、过多的权限和敏感数据泄漏;同时为每个函数生成高度准确的行为配置文件,阻止异常情况。
防止无服务器错误配置
- 自动应用强化
CloudGuard 能够在部署前后分析无服务器应用代码,帮助最大限度改善应用安全状况、减小攻击面,并简化治理。
此外,CloudGuard 还通过 CloudGuard Dome9 直观界面为整个无服务器生态系统(函数、触发器、第三方库等)提供全面的统一视图。聚焦安全的可视化界面可显示所有输入和触发器及潜在风险。
尽可能减小攻击面
CloudGuard 突破性的深层代码流分析技术能够检测配置风险,并自动生成最低级别的功能权限。该解决方案可清楚地概述推荐的修复步骤,帮助推动大规模修复安全状况的工作。
此外,CloudGuard 还可以检测配置问题并发出警报,例如未关联的触发器和过度配置的函数超时配置。该产品能够持续扫描函数,查找已知漏洞和蕴藏的风险,确保应用不会遭受攻击。
自动评测函数和应用行为
CloudGuard 能够持续扫描无服务器基础设施、代码和运行时环境。CloudGuard 利用机器分析和深度学习算法,构建出应用和函数正常行为模型,包括在资源层面自动创建操作白名单。您可以进一步定义自定义策略,并根据函数级别实施行为。
准确快速地检测
并阻止无服务器应用攻击
根据已学习的函数情景,CloudGuard 提供动态保护,并从调用时起开启自动保护。CloudGuard 的函数自我保护 (FSP) 功能可检测应用层攻击、发出警报并加以阻止,如无服务器 OWASP Top 10 攻击和独立于攻击触发器的异常活动。
使用 CLOUDGUARD
阻止无服务器攻击的示例
CloudGuard 阻止代码注入攻击的示例图:
