账号:
密码:
CTIMES / 文章 /   
14道安全锁 强化云端运算资讯安全
打造低风险的云端服务架构

【作者: 季平】2022年04月27日 星期三

浏览人次:【1629】
  

数位转型浪潮席卷多年,越来越多企业采用或移转各种复杂的云端技术与服务。云端安全包含所有云端部署模型,如公有云、私有云、混合云、多云等,以及以云端为基础的各种服务及解决方案,如IaaS、PaaS、SaaS。当企业导入云端运算後,资讯管理问题就从企业内部延伸到外部利害关系人,存取使用者越多,衍生的资讯安全问题也越多。


2021年企业遭网路攻击较2020年增长50%

2021年就发生几起引人注目的大型网路攻击事件,导致巨额财务损失及业务中断,如美国保险公司CNA Financial遭勒索软体攻击,系统感染Hades的勒索软体变体Phoenix Locker,支付4000万美元赎金,才顺利赎回无法存取及使用的档案内容;Microsoft Exchange Server遭攻击,骇客窃取电子邮件并安装恶意软体,至少有数万名客户遭APT组织攻击,也包括企业和政府机构;阿拉巴马州的Colonial Pipeline网路遭攻击,被迫关闭系统,媒体报导Colonial Pipeline向骇客支付近500万美元的加密货币以获取解密金钥;美国食品加工龙头JBS公司遭网路攻击,影响全球多个工厂,JBS承认支付3350万美元赎金。


Check Point发布《2022年网路安全报告》,揭露2021年观察到的关键攻击手法和技术,包含去年初复杂程度及影响范围前所未见的SolarWinds供应链攻击事件,及年末大规模爆发的Log4j漏洞攻击。报告指出,2021年不只关键基础设施遭攻击,云端服务厂商的漏洞数量也不断增长,针对供应链的攻击事件层出不穷,显示软体供应链中存在重大资安风险!


另一方面,与民众生活息息相关的行动装置也无法幸免,越来越多攻击者透过网路钓鱼简讯散播恶意软体,加上疫情爆发催生企业数位转型需求,导致新型网路威胁及网路犯罪发生率节节攀升。


Check Point数据显示,2021年企业每周遭网路攻击的数量较2020年增长50%,尤其是教育与研究机构,年增75%;软体供应商所遭受的攻击次数增幅最大,与2020年同期相比,增长146%。


云端运算面临7大安全威胁与挑战

云端安全联盟(Cloud Security Alliance,CSA)早在2010年3月发布的《Top Threats to Cloud Computing V1.0》报告即指出,云端运算面临7大安全威胁:(1)不安全的介面与应用程式介面(APIs);(2)恶意的内部员工;(3)共享环境造成的议题;(4)资料遗失或外泄;(5)帐号或服务遭窃取;(6)稽核与搜证;(7)其他未知风险。


网路攻击事件多半因安全漏洞而起,任何云端资料库的设计缺失只要存在一个漏洞,都可有导致骇客窃取用户资料,甚至是其他用户的资料,而云端服务供应商存放资料的地点如未落实良好的管控或备份机制,大大提高资料遗失或损毁的风险。云端供应商使用的帐号等各项服务的安全机制若遭破解,或是有心人利用网路钓鱼、诈骗、应用程式漏洞等攻击手法取得企业帐号资讯,甚至侧录企业网路交易活动、窜改传输资料、假造讯息,对企业来说,损失的不只是商业获利、赎金损失,也可能赔上商誉,影响深远。


资料上云的目的在共享,上云的确具有易使用、弹性与组态调整等方便性,但过程中需留意防范未经授权的存取以避免资料外泄或遗失,此外,也要注意通讯加密以认证使用者,同时侦测潜在威胁并找出程式漏洞,如此云端安全才有保障。


台湾数位安全联盟荣誉理事长、云端安全联盟(CSA)台湾分会长蔡一郎指出,云端运算服务对於企业营运而言,是一种营运架构与服务型态的改变,许多企业在面对云端服务、云端运算以及云端安全的议题时,经常会以传统典型的资安架构来看待云端运算的服务方式,若未经过全面评估云端运算与营运方式就进行应用服务的部署,很容易形成防御层面的缺囗。



图一 : 台湾数位安全联盟荣誉理事长、云端安全联盟(CSA)台湾分会长蔡一郎。(source:台湾数位安全联盟)
图一 : 台湾数位安全联盟荣誉理事长、云端安全联盟(CSA)台湾分会长蔡一郎。(source:台湾数位安全联盟)

诚然,云端服务提供企业转型最隹实践环境,具有快速部署与取得所需资源的优点,但也伴随着资讯安全议题。许多云端服务共用软硬体资源提供不同使用者,如虚拟主机等重要服务核心部分受到攻击,就可能导致整体环境遭受攻击,衍生各种损害。


蔡一郎认为,企业在面对云端服务平台时可能遭遇以下挑战:(1)不熟悉云端服务的运作架构;(2)资安设备的管理与典型的资讯架构不同;(3)复杂的网路架构与资安政策的一致性;(4)云服务的类型无法与企业营运搭配;(5)资料与隐私保护的问题;(6)数位转型後的营运模式改变;(7)人为设定与营运上的失误。


云端运算透过软体介面提供服务,企业应了解使用、管理及监控云端服务可能带来的资讯安全风险,安全性不隹的应用程式介面(Application Programming Interface;API)可能导致企业面临各种安全问题。分散式阻绝服务攻击(DDoS)一直是网际网路服务的一大威胁,云端运算时代尤其严重,若DDoS造成服务停用,不只可能让云端服务供应商失去客户,也可能让云端服务使用者蒙受重大损失。


此外,由於云端可能提供重要商务应用服务及储存大量商业机密资料,云端服务供应商的在职、离职员工或业务合作夥伴若涉入恶意存取或破坏行为,将造成重大损失,因此内部人员的监控机制也很重要,应避免人为因素危害云端安全。


14道安全锁强化云端资安

云端安全联盟所发布的《Security Guidance for Critical Areas of Focus in Cloud Computing v4.0》将云端运算需要考量的资安问题分成14个领域,建议企业在选择使用云端服务时需要关注的资安问题包含(1)云端架构的框架;(2)治理与企业风险管理;(3)法律议题:合约与电子资料搜寻;(4)法规的遵循与稽核管理;(5)资讯管理与资料安全性;(6)互通性与可移植性;(7)传统安全、业务持续与灾难复原;(8)资料中心维运;(9)突发事件的反应;(10)应用程式的安全性机制;(11)资料的加密与金钥的管理;(12)身分、权限与存取管理;(13)虚拟化;(14)资安即服务。




图二 : 云端安全联盟所发布的14个资安问题领域。
图二 : 云端安全联盟所发布的14个资安问题领域。

「云端架构框架」是根据美国国家标准与技术研究所(National Institute of Standards and Technology, NIST)所提出的云端运算定义:5项基本特徵、3种服务模式及4种布署模式共同组成;「治理与企业风险管理」指云端服务供应商应落实适当的组织架构、风险管理与法规遵循,以确保云端运算服务资讯供应链的资讯安全;「法律议题:合约与电子资料搜寻」的重点在於当云端服务发生异常事故时,云端服务供应商与用户对资料隐私、证据搜集及法律的相关责任;「法规的遵循与稽核管理」指的是符合法令法规与内部规范的要求,以实施安全稽核;「资讯管理与资料安全性」是指必须依照机密性、完整性、可用性及资料生命周期实施对应的控制措施。


「互通性与可移植性」说明供应商应具备云端服务功能性介面与用户端管理性介面的相互运作能力,以及应用资料的可携性能力;「传统安全、业务持续与灾难复原」用户应检视云端服务供应商的环境安全及装置设备安全,确认供应商已妥善处理传统资安问题;「资料中心维运」是指用户在承租云端服务前应事先评估供应商及资料中心的营运程序,以掌握可能的安全风险;「突发事件的反应」是指建立资安事件应变小组、制订资安事件应变措施与标准程序,确认紧急应变处理能力并依法规要求通报,避免事件扩大。


「应用程式的安全性机制」则是在云端环境下,应用程式必须采取更为严谨的安全软体发展生命周期(Secure Software Development Life Cycle, SSDLC),在需求分析、设计、开发、测试、上线、维护等阶段都必须考量到安全性需求;「资料的加密与金钥的管理」是指用户不应依赖云端供应商所提供的加密安全机制,而是在机密资料传输至云端前利用适当的加密机制或资安产品加密资料,并将资料移动到不同的储存地点或储存媒体。


「身分、权限与存取管理」是指云端用户应尽量使用服务配置标记语言(Service Provisioning Markup Language, SPML)搭配安全宣示标记语言(Security Assertion Markup Language, SAML)及可扩展存取控制标记语言(eXtensible Access Control Markup Language, XACML)存取供应商提供的连线服务,建议利用身分辨识与存取管理(Identity and Access Management, IAM)功能辅助用户存取云端服务身分验证、授权与稽核。


「虚拟化」是确保用户在云端的多用户环境中可以独立区隔,以防止Hypervisor被未经授权的用户存取,避免用户端遭受恶意破坏与攻击;「资安即服务」是将资安防护移往云端而非设於用户端本身的环境,如此可降低企业在安全管理上的负担,同时降低资讯安全风险。


导入云端服务後须评估4件事

蔡一郎建议,企业在导入云端运算的环境後,首先将面对服务平台在营运架构改变後的资安风险,包括网路安全政策的一致性、落实云内部网路管理、规划资料流与防御机制、资安事件的发生与调查等,此外,企业使用云端服务的过程中也需要同时从以下四个面向进行评估:(1)业务营运支援服务(Business Operation Support Services;BOSS);(2)资讯技术营运与支援 (Information Technology Operation and Support;ITOS);(3)技术解决方案服务 (Technology Solution Services;TSS);(4)资安与风险管理 (Security and Risk Management;SRM)。


面对云端运算带来的资安威胁,云端服务供应商透过许多SaaS服务提供资安上的防御,如端点预警机制(EDR)、资讯安全风险仪表板等,有助使用者掌握云端服务所面临的诸多资安风险。至於服务提供者及企业端需要如何因应才有助提高云端资安,他认为,提供云端运算的资讯安全防御必须涵盖「供给」与「需求」两个面向,安全框架可以由零信任架构(Zero Trust Architecture;ZTA)以及安全存取安全边界(Secure Access Service Edge;SASE)进行思考。


对於云端服务供应商而言,透过云端运算平台可以提供不同需要的使用者进行资源部署,而使用者的来源无法掌握,进行使用者身份识别或采用多因子认证机制,都可以改善对使用者的身份验证。对於机敏资料的传递,建议可以采用端点对端点的加密通讯机制,以及强化对於端点设备与系统的安全预警能力,以增强对於遭受恶意程式攻击时的数位韧性。



图三 : 一致性的网路与安全政策。(source:云端安全联盟)
图三 : 一致性的网路与安全政策。(source:云端安全联盟)

云端安全联盟目前有9大类共计31个研究工作小组,针对云端安全与应用服务所衍生的资讯安全议题,结合产业专家以及主要云端服务供应商能量,针对需要面对的问题以及未来的资安发展趋势,进行关键问题与解决方案的研究。


结语

智慧联网的时代,勒索攻击威胁或是网站资料遭窃已成为全球资安问题,新冠肺炎疫情的爆发更加速资安需求持续升温,新兴的资安问题与资安风险成为重要议题。虽然各国政府和执法机构近年来严厉打击勒索软体组织,但与其被动应战或等事件发生之後付出惨痛代价,然後亡羊补牢,不如主动出击消灭网路安全风险,有效整合前述软硬体安全基础设施,强化云端资安才是最隹解。


相关文章
传统网路显露疲态 SDN开启下世代网路新革命
推动云端技术革新的六大安全趋势
提高产业韧性 智慧制造扮演关键角色
进击的资料中心
AI依赖度提升 智慧边缘为物联终端加分
comments powered by Disqus
相关讨论
  相关新闻
» 远景科技与世平兴业合作拓展亚太区物联网市场
» 台湾国际医疗展开幕 拓展健康医疗跨域商机
» 中华电投入5G智慧医疗应用 高雄荣家智慧长照服务正式上线
» 台北通为全台首创通过三项资安及个资认证市政APP
» 移远通信与英伟达完成联调加速AIoT应用开发
  相关产品
» IAR Systems发表最新版完整开发工具链加速创新
» NetApp为分布式工作环境提供云桌面即服务解决方案
» 圆刚推出首款企业级4K网路摄影机 Intel显示卡优化效能
» Vertiv新款浸没式液冷创新方案适於高密度资料中心和边缘应用
» Bureau Veritas协助推行ISASecure ISA/IEC 62443全球网络安全符合性计画


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2022 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw