企業對公有雲端資訊安全風險 的應對之道 forum/2016/2016-1/10.pdf ·...
TRANSCRIPT
![Page 1: 企業對公有雲端資訊安全風險 的應對之道 forum/2016/2016-1/10.pdf · 者就自己所知列出下列幾點問題: 1. 架構安全 (1) 在網路層架構安全,必須將公有雲端服務](https://reader030.vdocuments.mx/reader030/viewer/2022040314/5e1005b1214bc77c4b64397a/html5/thumbnails/1.jpg)
- 82 -
新世代資安威脅與防護
企業對公有雲端資訊安全風險的應對之道
一、 目前企業中導入公有雲端服務的障礙
雖然導入雲端服務有很多的優點,但也有很多
的障礙產生,其中最大的問題就是安全性,筆
者就自己所知列出下列幾點問題:
1. 架構安全(1) 在網路層架構安全,必須將公有雲端服務與私有雲端服務分開探討,以資訊人員考
慮公司內部環境所需要的資訊安全風險 (前提資安防護都已經非常的完整,且沒有新
的攻擊和弱點改變 );資訊人員再進而導入私有雲端服務,雖然企業的組織 IT結構可能會因私有雲端服務改變,但企業內部現
有的網路拓樸並不會明顯變化。若企業內
部已有私密外部的雲端服務網路(例如:讓
合作夥伴或顧客可以使用),對於私有雲端
服務只需要做部份的安全資安架構調整。
然而,企業選擇的是使用公有雲端服務,
網路拓樸就必須改變安全需求,在這種情
況下會有三個比較明顯的風險要素存在:
● 確保企業內部與公有雲端供應商,雙向資料傳輸的保密性與完整性。如之前
AWS為例,AWS曾經發生數位簽證演算
文 / 黃文亮
如果您常搭火車,您一定對這句話很熟悉:注意間隙。這是要告訴您要小心月台和火
車之間的間隙,所以您得留意自己的腳步,我們可以用這種注意間隙的概念,當成雲端服
務與安全性的警告標語,雖然雲端服務強調的是節省成本、靈活性和可自由創新的能力,
同時卻又被抨擊在雲端服務上的安全性不佳,這到底代表什麼?雲端服務的安全性有何問
題?
法瑕庛,讓使用 HTTP而未用 HTTPS的使用者面對資料可能在傳輸中遭到竄改
的風險。
● 確保在公有雲端服務使用任何資源,都有適當的存取控制權限。由於這些資源
中,有部份會暴露於外部的網際網路,
在使用公有雲端服務對於資料得承擔更
多的風險性,企業對於公有雲端服務供
應商的網路及資訊安全,在運作稽核管
理能力上,無法即時監控及權限比對。
例如在 2008年 AWS就曾經發生在自己公有雲端服務上讓其它客戶去接觸到別
人的資源的案例。
● 確保企業內部所用的公有雲端服務,或是由公有雲端服務,配給所屬企業內部
網際網路資源的可用性。在公有雲端服
務最常發生的攻擊如 DNS攻擊、DDoS攻擊等等⋯都需要仰賴網路安全,以確
保網際網路資源的可用性。每一間公有
雲端服務供應商,對於此類攻擊的偵測
能力大有不同,需要洽詢公有雲端供應
商,瞭解所具備的防禦能力。
(2) 在主機層的主機安全性與存取風險,應當考
![Page 2: 企業對公有雲端資訊安全風險 的應對之道 forum/2016/2016-1/10.pdf · 者就自己所知列出下列幾點問題: 1. 架構安全 (1) 在網路層架構安全,必須將公有雲端服務](https://reader030.vdocuments.mx/reader030/viewer/2022040314/5e1005b1214bc77c4b64397a/html5/thumbnails/2.jpg)
- 83 -
新世代資安威脅與防護
慮雲端服務遞送模型 (SaaS、PaaS與 IaaS),雖然尚未聽說有公有雲端服務專用主機的
新威脅,但有虛擬化安全,如 VM跳脫與內部威脅;從安全管理觀點來看,會帶來
新的營運戰,以企業而言,要面對的是企
業在公有雲端服務主機的安全性,如軌跡
追蹤、弱點修補或防駭⋯等等。所以現今
的公有雲端服務供應商,開始為確保企業
內部所用的公有雲端服務安全性考量,讓
企業可選擇放置在公有雲端服務主機去做
基礎設施安全防護 (如:趨勢科技的 Deep Sceurity、IMPERVA的 Secure Sphere)。
(3) 在應用層的應用程式或軟體安全,應當是安全計劃中最重要的一環,特別的是現階
段在公有雲端服務上,幾乎是以網頁伺服
器為最大宗。現今的駭客常會利用應用程
式的弱點 (如:OWASP Top 10),以及其他因程式設計錯誤與設計瑕疵的漏洞,進行
各種非法活動,包括詐財、竊取智慧財產
權,將受信的網站變成惡意伺服器,並從
用戶端搞鬼,用釣魚詐騙的手法去騙取帳
號及密碼權限。常見的保護方法,就是結
合外圍安全措施 (WAF)、主機式存取權限控制及行為監控,同時在網站應用程式安
全性,內嵌軟體開發生命週期 (如圖一),以保護部署的網站應用程式,避免受外來
的駭客侵襲。
圖一 軟體開發生命週期
2. 資料安全
(1) 資料傳輸及殘留: ● 傳輸中資料對於傳輸中資料,確保所用通訊協定的保密
性與完整性(如:使用 SSL的 FTP、HTTPS),尤其當通訊協定是用於跨越網際網路傳輸資
料時,更為重要。
(安全 )設計
(安全 )發表
(安全 )程式
(安全 )測試
安全功能
![Page 3: 企業對公有雲端資訊安全風險 的應對之道 forum/2016/2016-1/10.pdf · 者就自己所知列出下列幾點問題: 1. 架構安全 (1) 在網路層架構安全,必須將公有雲端服務](https://reader030.vdocuments.mx/reader030/viewer/2022040314/5e1005b1214bc77c4b64397a/html5/thumbnails/3.jpg)
- 84 -
新世代資安威脅與防護
● 資料殘留資料殘留指的是原應該正常刪除或移除的資
料,卻有殘存的表現,這樣的殘留可能是因
為資料在正常刪除操作中未受影響,或者儲
存媒體的實體特性所造成的。萬一儲存媒體
流入不受控制的環境,裡面的機敏資訊就會
有外洩的疑慮。在雲端服務裡,不管是那種
服務,此風險幾乎都是疏忽或無意造成,關
於資料安全可達成方式,可參考國家技術標
準局 NIST 800-88媒體淨化準則。
(2) 資料安全補救公有雲端服務目前能提供的,僅有傳輸中的
資料可以用編碼的方式提供上傳與下載。放
在公有雲端服務裡的資料,都是屬於未編碼
的資料,這些資料也幾乎都會進入多用戶環
境之中,加上許多公有雲端服務供應商未能
察覺的錯誤 (如資料殘留 )。要怎麼補救這些資料安全風險?唯一可行的補救選擇是確保
任何機敏或管制資料都不要放到公有雲端服
務裡 (或者企業 IT組織先將公司資料編碼,放上雲端僅作簡易儲存)。
3. 儲存安全存入公有雲端服務的資料指的是 IaaS,而非與 PaaS或 SaaS應用程式相關的資料。這些存入雲端的資料,也應該和存在其它地方的
資料一樣,使用相同的資訊安全考量:保密
性、完整性、可用性。
● 保密性談到公有雲端服務上所儲存的資料保密性,
會有二個潛在的考量,首先是用什麼存取
控制措施保護資料 (存取控制包括認證與授權 )?目前在公有雲端服務上通常使用比較弱的認證機制(如:使用者名稱+密碼),而
企業用戶可用的授權控制也是比較簡略,這
種方式存取控制措施對大型企業用戶而言,
就是明顯的安全問題。次要的潛在考量,筆
者在上述提及儲存在雲端上的資料究竟是怎
麼樣的受到保護?從所有實用層面來說,公
有雲端服務儲存的防護,都必須用到編碼,
編碼有分為二種,一種是對稱編碼 (如圖二),另外一種是非對稱編碼 (如圖三),至於編碼可參考國家技術標準局 NIST 800-57金鑰管理建議。
圖二 對稱編碼
傳送端
純文字 純文字
接收端
加密文字
共用金鑰
編碼 解碼
![Page 4: 企業對公有雲端資訊安全風險 的應對之道 forum/2016/2016-1/10.pdf · 者就自己所知列出下列幾點問題: 1. 架構安全 (1) 在網路層架構安全,必須將公有雲端服務](https://reader030.vdocuments.mx/reader030/viewer/2022040314/5e1005b1214bc77c4b64397a/html5/thumbnails/4.jpg)
- 85 -
新世代資安威脅與防護
以 AWS為例,對於資料保護,透過加密金鑰管理和以政策為導向的控制,協助保護企
業的資料不受未經授權的公開和修改(如:
SafeNet的 ProtectV或 Vormetric透明加密⋯等等)。
圖三 非對稱編碼
● 完整性除了資料保密性,企業用戶也一定要留意資
料的完整性,保密性並不代表有完整性。資
料可以靠編碼達成保密性,但這樣還是沒有
辦法檢驗資料的完整性,如要檢驗資料的完
整性,就筆者而言最快的替代作法就是復原
性的證明。
● 可用性假設一企業用戶的資料已經獲得保密性與完
整性的維護,接著要想到的是資料可用性,
先前曾發生過多次公有雲端服務供應商的服
務中斷事件,除了服務中斷外,有時候儲存
在公有雲端服務的資料也有可能消失。
三個有關儲存資訊安全考量都應當納入在提供
公有雲端服務供應商,給企業用戶顧客的服務
合約 (SLA) 之中。然而,即使服務合約(SLA)訂
得再多,由於各種現實因素,服務合約(SLA)要怎麼評量還是充滿問題,所以企業用戶應當多
加留意資料安全考量與資料存入公有雲端服務
的方式。
二、 公有雲端服務資安防禦的迷失將企業的應用服務放在公有雲上,是否可整合
企業即有實體或私有雲虛擬化資安防禦解決方
案 ?以目前技術而言成功的機會並不大,主要是公有雲端服務供應商有自己的平台,對於虛
擬的 OS都有不同的格式,所以目前的技術並沒有辦法將企業私有雲的資安防禦轉移到公有
雲端服務平台一體適用,但有一種方式或許有
機會,就是企業內部及公有雲端服務供應商來
自同一個虛擬底層。
傳送端
純文字 純文字
接收端
加密文字
傳送端公開金鑰
編碼 解碼
接收端私密金鑰
![Page 5: 企業對公有雲端資訊安全風險 的應對之道 forum/2016/2016-1/10.pdf · 者就自己所知列出下列幾點問題: 1. 架構安全 (1) 在網路層架構安全,必須將公有雲端服務](https://reader030.vdocuments.mx/reader030/viewer/2022040314/5e1005b1214bc77c4b64397a/html5/thumbnails/5.jpg)
- 86 -
新世代資安威脅與防護
筆者認為目前的幾家公有雲端服務供應商在資
安防禦的選擇性來看,AWS是提供給企業用戶最多選擇,例如以 WAF而言,本身 AWS提供 AWS WAF給企業用戶使用外,企業用戶也可另外選擇,AWS的 APN合作夥伴所提供的WAF解決方案,如讀者有興趣可參考 AWS的Awsmarketplace,有很多資安解決方案可讓企業去選擇使用。
這些公有雲端服務資安的解決方案,雖然讓企
業全自動安裝完成,但企業下一步面臨這些資
安解決方案,所提供的報表需要有人去分析做
防禦調整,這也是防禦的重要一環,麟瑞科技
資安部門能提供這一部份的服務給企業。
三、 如何做好雲端安全的管理引入雲端服務之後,第一個必須解答的疑問是,
從雲端服務安全管理與實作安全管理是否有足
夠的透明度確保在公有雲端服務上的資料受到
適當的保護 ?此問題的解答要分兩部份:在公有雲端平台上,企業用戶必須提供怎麼樣的安
全措施,以及企業用戶的安全管理工具和程序
應該怎麼改變以去做好雲端安全的管理。兩個
解答都必須依據資料敏感性與服務品質,隨時
間的改變而持續重新評估。
成熟的企業用戶 IT通常會使用標準的安全管理架構如 ISO 27001,以及資訊技術架構資料庫(ITIL)服務管理架構。這些業界標準管理架構,提供
規劃與實作管理計劃指引,並維持管理程序藉
以保護資訊財產,尤其以管理架構如 ITIL有助於持續性的服務改進,使企業用戶 IT服務能跟上業務需求。
ITIL安全管理架構目標:
1. 實踐安全需求安全需求通常是在服務合約(SLA)中,與其它外部需求一併定義,尤其是在基礎合約及
內、外部施加的規則條例。
2. 實踐基本安全保障企業用戶的安全與連續性,達到資訊安
全管理簡化管理。
完善的安全管理程序,也必須與企業內部的 IT規則與標準一致,目標為保護資料的保密性、完
整性與可用性,企業內 ITIL的生命週期(如圖四),經由 ISO與 ITIL功能所實踐的安全管理原則。
圖四 企業內部的 ITIL生命週期
服務策略
服務運作 服務設計
服務過渡
監測與最佳化 ITIL可用性管理
ITIL設定管理、更新管理
資訊安全管理
ISO存取控制、弱點管理、事件應變、系統使用與設定監測
![Page 6: 企業對公有雲端資訊安全風險 的應對之道 forum/2016/2016-1/10.pdf · 者就自己所知列出下列幾點問題: 1. 架構安全 (1) 在網路層架構安全,必須將公有雲端服務](https://reader030.vdocuments.mx/reader030/viewer/2022040314/5e1005b1214bc77c4b64397a/html5/thumbnails/6.jpg)
- 87 -
新世代資安威脅與防護
結語
筆者就於自己的觀察,雲端是經營模型的改變
而非是全新的技術從資訊安全觀點,雲端最大
的挑戰是資源共用,或者多用戶特性所帶來的
改變。現在的公有雲端服務提供的安全看起來
非常貧弱,比起現有的(大型企業或金融產業)安
全規範,根本是難以接受。但從中小企業的資
訊人員看來,公有雲端服務已經是可以接受的
程度,甚至比現有 (中小企業) 的安全規範做還要來得好。只要未來在公有雲端服務供應商能
對於資訊安全作法有更高的透明度,且為了顧
客的利益持續的改進資訊安全風險,筆者想,
對於今天的雲端服務欠缺安全性的問題,反擊
聲浪很快就會平息。
(作者現任職於麟瑞科技)
資料來源:1. Amazone Web Services : Overview of Security Processes2. https://en.wikipedia.org/wike/Data_remanence3. http://csrc.nist.gov4. https://aws.amazon.com/marketplace/ref=gtw_navhdr_header