本文件探讨了云计算、容器化和微服务在信息安全方面的新机制，强调了安全软件开发生命周期（SSDL）和开发运维安全（DevSecOps）在现代IT架构中的重要性。同时，分析了微服务架构的快速增长及其对应用程序开发的影响，以及AI技术在安全管理中的应用。文档结合了多种安全标准和最佳实践，提供了全面的安全管理策略和实施建议。

1. 雲端化、容器化、微服務、AI 化
資安嶄新機制探討
智慧資安/陳勇君博士
SunriseChen@uniXecure.com.tw
CISSP, ISO 27001/27701 LA

2. 簡報綱要
2
壹、雲端化的安全管理
貳、容器化的安全佈署
參、微服務的安全框架
肆、A.I. 化的安全考量

3. 壹、雲端化的安全管理

4. 資安【向左走】超前佈署 Security Inside
◼ 安全軟體開發生命週期
◼ Security Software Development Life Cycle (SSDLC)
需求
資訊系統開發RFP資安需求範本
測試
安全軟體測試指引
設計
安全軟體設計指引
驗收
系統安全需求實作與驗證
實作
應用程式參考指引
現有檢測流程
弱點分析
滲透測試
需求 設計 開發 測試 部署 營運
事件處理機制
壓力測試
黑箱測試
動態分析流程
模糊測試流程
攻擊面審查
開源程式檢測報告
程式碼檢視流程
現有檢測流程
靜態分析報告檢閱
威脅模型確認
安全系統設計
分析攻擊層面
資安風險評估
安全等級評估 使用回饋調整
版本追蹤
通報應變程序
資料來源：The Microsoft Security Development Lifecycle – Simplified
NCCST.nat.gov
4

5. DevSecOps 工具鏈 (Gartner)
資料來源：Gartner (ID 384500_C) 5

6. 雲【原生+開源+容器】應用安全架構
1c Cloud 平台 2c K8s Cluster 4c Code
3c Container
公/私雲 IaaS 防護
K8s/Dockers Cluster
及 VM安全
容器安全 工作流及程式碼安全
Google
4C Layer
雲安全與維運
雲安全 DevSecOps
全域安全/網路/資料中心 開發團隊(DevOps)
安全維運
安全治理
CNAPP
雲端原生應用
程式防護平台 雲端安全狀態管理 (CSPM)
雲端工作負載防護平台 (CWPP)
雲端基礎架構授權管理(CIEM)
IaC Scan
Container Scan
資料來源：Check Point Software Technologies Ltd.
N
I
S
T
S
P
8
0
0
1
9
0
標
準
I
S
O
2
7
0
0
0
系
列
標
準
6

7. 應用系統開發架構 (DevOps) 之資安議題
Data / Systems / Services
Application Behavior
(business logic, configuration, etc.)
Frameworks
Proprietary Code
OSS OSS OSS OSS
OSS OSS OSS
Web UI API / Service Interface
How can our
developers produce
code with fewer
defects and security
weaknesses (CWEs)
without slowing down?
How do we track and
manage open source
use and the security
and license compliance
risks that come with it?
How do we know we’ve
addressed runtime
vulnerabilities and data
protection issues
before we deploy?
How do we ensure the
protocols & APIs our
software exposes
aren’t vulnerable to
common hacks?
How do we integrate and
automate all of this?
7

8. 精誠 DevSecOps 解決方案架構
How do we integrate and
automate all of this?
Data / Systems / Services
Application Behavior
(business logic, configuration, etc.)
Frameworks
Proprietary Code
OSS OSS OSS OSS
OSS OSS OSS
Web UI API / Service Interface
How can our
developers produce
code with fewer
defects and security
weaknesses (CWEs)
without slowing down?
How do we track and
manage open source
use and the security
and license compliance
risks that come with it?
How do we know we’ve
addressed runtime
vulnerabilities and data
protection issues
before we deploy?
How do we ensure the
protocols & APIs our
software exposes
aren’t vulnerable to
common hacks?
Static
Analysis
Find and fix security
vulnerabilities and
quality issues in code
as it is being
developed
Coverity
Protocol & API
Fuzzing
Detect vulnerabilities
exposed through
protocols and APIs
Defensics
Interactive & Dynamic
Analysis
Pinpoint exploitable
vulnerabilities and
data protection issues
in web applications
Seeker & WhiteHat
Software Composition
Analysis
Detect and manage
open source and
third-party component
risks in development
and production
Black Duck
Intelligent Orchestration Code Dx
8

9. Black Duck
Defensics
Coverity
Sec
最佳靜態分析軟體
• OWASP Benchmark 第三方驗證
精准度業界第一名
• 支援大型軟體程式碼掃描
• 完美整合CI/CD工具
開源軟體資安掃描工具領導者
• 收錄全球最完整的開源軟體資訊
• 支援掃描Source and Binary
• 避免使用開源軟體衍生的資安風
險與授權風險
Fuzzing testing 模糊測試工具
• IoT 設備安全測試工具
• 業界唯一支援 5G 通訊協定
• 電信與車用產業領先方案
DevSecOps 資安整合管理平台
• 儀表板集中化管理所有事件
• 支援第三方源碼資安分析解決方案
• 提供資安事件重要性提示與建議
Seeker
Web Application安全檢測
• 灰箱測試
• 檢查 runtime 時的狀態
• 提供報表建議供開發人員作為調
整參考
Synopsys DevSecOps 整合方案
9

10. Synopsys 支援的各類合規報表 (Report)
MISRA Report
Quality Report
OWASP Report
Mobile OWASP Report
CERT Report
Security Report
10

11. Synopsys/BlackDuck 軟體物料清單
Software BOM 表
11

12. Synopsys/BlackDuck 合規：
開源軟體【授權風險】
提供授權的權利及義務資訊
完整的 license 條文內容
12

13. Synopsys/CodeDx 集中儀表板-統一管理
13

14. Synopsys 支援的技術、工具整合
14

15. 人員 技術
程序
導入適合推動
DevSecOps的文化
將資訊安全納入
DevSecOps 的程序
運用工具
確保安全落實
資料來源：臺灣科技大學資管系/查士朝教授/EMBA 授課資料
DevSecOps 成功要素
源碼檢測工具
CI/CD 自動化
工作流程工具
強化教育訓練
資安文化養成
資安團隊合作
15

16. 貳、容器化的安全佈署

17. NIST SP800 容器化安全指引 & Benchmark
17
+
資料來源：NIST SP800-190

18. Container 部版與運作流程圖
18
Developer
Developer
Developer
Testing and
Accreditation
Internal
Registry
External
Registry
Orchestrator
Host with
Container
Host with
Container
Host with
Container
Host with
Container
Admin Admin
Node.JS
AP1
Java
AP2
Node.JS
AP1
Java
AP2
Node.JS
AP1
Java
AP2
Java.OS
Node.JS.OS
Container
MySql
Java
AP2
Java.OS
Container
WebServer
Node.JS
AP1
Node.JS.OS
部署管控
Docker 建立映像檔 映像檔堆疊
OSS 檢測
CR/OSS 檢測
資料來源：NIST SP800-190

19. 參、微服務的安全框架

20. 微服務市場倍速成長 未來可望主導
新世代 IT 架構
20
容器化市場規模 複合成長
容器化市場規模將會從2019年 12.6 億美元成長到未來
2026年的 114.6 億美元的，複合年均成長率高達31.5%，
可彈性擴充微服務架構勢必會主導未來新世代的IT架構
開發應用程序 佔比成長
56%- 未來2年內會採用微服務
59%- 未來2年內通過微服務創建應用程序
78%- 已使用微服務用戶，加大各項目的投入預算
87%- 同意使用微服務開發所付出的精力是值得的
微服務原雲生 快速成長
從2019年的 20.7 億美元成長至2026年的
80.7 億美元。預估未來成長將會達到4倍，
可見市場規模呈現快速成長的趨勢
微服務投入意願 優勢成長
79%- 同意微服務是時間考驗過的應用開發模型
84%- 同意使用微服務有助於吸引人才
84%- 同意使用微服務可讓團隊成員間建立更好協作
88%- 同意微服務帶給開發團隊許多優勢
資料來源：MIC報告、微服務IT大調查、 Verified Market Research研究機構公開資料、IBM Market Development & Insights

21. 精誠建議之【微服務運作 & 安全架構】
21
API Gateway
流量管理 繞送 註冊 API管理 存取授權
技術平台
快取 日誌記錄
關聯式資料庫
訊息佇列 分散追踨 系統監控
容器化管理平台(容器化安全)
Red Hat OCP/VMware Tanzu/Kubernetes
DevSecOps
版本控制
源碼掃描
弱點掃描
自動測試
持續整合
持續部署
設定管理
資源管理
監控警示
報表分析
Framework
異步通訊 主機通訊 交易補償
認證授權 同步通訊 快取 例外處理
字碼轉換
稽核記錄
優雅關閉
日誌記錄
通用工具
六角形架構
應用微服務
核心服務 業務共用服務
應用微服務
應用服務一
業務共用平台
其他共用
服務
業務共用服務
業務共用服務一 業務共用服務二 …
應用服務二 應用服務三 …

22. 【金融業為例】之微服務架構
22
API Gateway
流量管理 繞送 註冊 API管理 存取授權
應用微服務
技術平台
快取 日誌記錄
關聯式資料庫
訊息佇列 分散追踨 系統監控
容器管理平台
Red Hat OCP/VMware Tanzu/Kubernetes
DevSecOps
版本控制
源碼掃描
弱點掃描
自動測試
持續整合
持續部署
設定管理
資源管理
監控警示
報表分析
Framework
異步通訊 主機通訊 交易補償
認證授權 同步通訊 快取 例外處理
字碼轉換
稽核記錄
優雅關閉
日誌記錄
通用工具
六角形架構
匯入匯款服務 匯入匯款批次
核心服務
交易參數服務 Swift電文服務
業務共用服務
應用微服務
匯入匯款服務 匯入匯款批次
業務共用平台
其他共用
服務
外匯共用服務
共用基本資料服務 交易參數服務 Swift電文服務

23. 肆、A.I. 化的安全考量

24. ML.AI 機器學習 + DevSecOps 安全軟體發展
精誠集團提供【MLOps + DevSecOps】& 【多雲+雲原生應用】
資安整體架構
24

25. MLOps With Security
25

26. MLOps 系統技術架構元件
26

27. MLOps 系統技術架構元件 + 資安元件
27

28. S-SDLC (DevSecOps) 技術藍圖
28
• 資安法/資通系統防護基準【附表十/普中高三個等級】
• 參考指引：
• Web 應用程式安全參考指引 v2.1 + 安全軟體【設計/發展/測試】參考指引 v1.0
政府資安規範
• ISO 27001:2022 & 27002 最佳實務
• 8. 技術控制措施
• 8.24 (2013/A.14) ~ 8.33 (2013/A.14)
• CMMS
• 美國國防部提供【網路安全成熟度模型認證】
• Cybersecurity Maturity Model Certification（CMMC）
國際資安標準

29. Thank You