Twistlock开源释出云端原生应用专用的审计工具Cloud Discovery助企业管理跨环境原生云端服务

Twistlock释出为云端环境专门设计的审计安全工具Cloud Discovery，使用者只要透过简单的操作，就能对所有原生云端服务，像是容器注册表或是託管的Kubernetes平台进行识别，以帮助使用者定位在不同公共云服务上执行的应用程式。目前支援三大公有云平台AWS、Azure和GCP。

随着企业在云端中部署越来越多的原生云端应用，营运跟安全团队很有可能遗漏开发团队执行的程式和服务，Twistlock表示，即便团队都尝试遵循严格的管理方法，但是很容易因为一个简单的错误，或是快速投机的测试，就可能导致服务在创建后被遗忘。

而这正是问题产生的地方，因为遗忘执行中的应用程式，同时也就代表无法管理控制其安全性，并会因为企业选择多云端供应商，或是云端供应商提供越来越多的服务或是区域，使得问题更加严重，这也让手动管理这些散落各地服务的工作更加棘手。

为了解决这个问题，让企业可以轻鬆的控制每个云端供应商、帐户和区域中的原生云端服务，Twistlock发布了开源安全审计工具Cloud Discovery，Cloud Discovery提供所有原生云端平台服务的时间点列举（Point in Time Enumeration），像是跨云端供应商、帐户和区域的容器注册表、Kubernetes託管平台和无伺服器服务。

Twistlock提到，Cloud Discovery之所以强大，是因为能够以简单的方法，探索跨环境的所有未知变数，不需要手动登入多个应用程式控制台，或在不同的页面操作手动输出资料，使用者只需要给一个简单的JSON配置档案，Cloud Discovery就能列出云端帐户和存取这些帐户的基本凭证。

Cloud Discovery能够直接连接原生云端平台供应商的API，仅需要授权读取权限，Cloud Discovery就能帮使用者探索服务以及元资料，另外，Cloud Discovery还有网路探索功能，可以使用连接埠扫描对特定IP範围进行侦测，以弱配置或是授权，探索原生云端基础设施以及应用程式，像是Docker注册表以及Kubernetes API伺服器等服务。这对于要探索没有提供自安装的原生云端元件特别有用，像是EC2执行个体中执行Docker注册表这样的应用。

Twistlock强调，Cloud Discovery仅是将帐户授权凭证作为Runtime的一项参数，也只会存在记忆体中，在使用结束后就会丢弃，并不会被留存在磁碟中，而且Cloud Discovery除了读取权限之外，并不需要额外的管理或是写入权限，企业不需要担心给予Cloud Discovery登入凭证的安全性问题。

Twistlock将Cloud Discovery设计成简单的Docker容器映像档，可以在任何地方执行，并且自动化运作。目前Cloud Discovery支援AWS、Azure和GCP云端平台上的资产辨识，未来将会支援更多的云端服务供应商。