【雲端資安】有雲端服務「金鐘罩」保護 企業還要採取的三方面措施
雲端服務逐漸發展,各種雲原生解決方案越趨成熟,許多企業逐漸將傳統機房搬至雲端,省去了許多維護設備的花費與心力之餘,變得更靈活和容易擴充。同時,雲端資安也成為重要議題。在雲端服務供應商對資安的重視與強化之下,不論是從底層的硬體與傳輸加密,以至對外部攻擊的防護工具,都已具備相當的保護。事實上很多時造成資料外洩的原因,是使用者的操作不慎與錯誤配置。
據 2022 年數據洩漏調查報告(2022 DBIR)指出,82% 資料洩漏是人為導致,不論是盜取的憑證、網絡釣魚、資源或權限的濫用。員工有可能不慎開啟釣魚信件,或遭利用人性弱點來欺騙的社交工程攻擊,致帳號及密碼流出,也可能因不慎將應用程式使用的金鑰放至公開平台上,令重要資料外洩。
此外,全球權威 IT 與顧問諮詢公司 Gartner 也預測,到 2025 年,全球雲端資安事故中,將有 99% 因使用者失誤或錯誤配置而導致。舉例來說,近期就有一家租賃公司因雲端伺服器配置不當,有心人士只要得知其 IP,便可自由存取資料庫內的會員資料。加密貨幣交易平台 Coinbase 也傳出因員工遭釣魚及詐騙,黑客成功取得相關帳號密碼,再獲得部分員工的聯絡資訊。
在強化資安部分,沒有完美的工具或一勞永逸的解決方法。不論是在傳統機房或是雲端服務,只有持續不斷地改善制度、工具跟進行人員訓練,才能降低資安事故的發生機率。以下就制度、工具和訓練三個部分列舉可採取的措施。
制度部分:
建議考慮導入資訊安全管理系統(Information Security Management System, ISMS)的國際標準 ISO/IEC 27001。該標準包含了資料保護的最佳實踐,可協助組織保護資訊資產的安全。公司也可遵循由美國國家標準與技術研究所(National Institute of Standards and Technology, NIST)提出的網絡安全框架(Cybersecurity Framework, CSF)進行資安管理。
NIST CSF 針對五大核心(包括:識別 Identity、防禦 Protect,偵測 Detect,回應 Respond,復原 Recover),提供七個步驟持續改善網絡環境安全,分別是:確認優先度跟範圍(Prioritize and Scope)、確認組織方向(Orient)、現況檢視(Create a Current Profile)、風險評估(Conduct a Risk Assessment)、期望描述(Create a Target Profile)、分析落差(Determin, Analyze and Prioritize Gaps)、制訂落實計畫(Implement Action Plan)。
工具部分:
使用各項資安系統或設備,協助人員防護與管理,比如防火墻、入侵偵測系統(Intrusion-detection system, IDS)、入侵防護系統(Intrusion-Prevention System,IPS)、網頁應用程式防火牆(Web Application Firewall, WAF)、安全資訊和事件管理(Security Information and Event Management, SIEM)和端點偵測與回應(Endpoint Detection and Respond, EDR) 等。
舉例來說,使用防火牆並妥善設定規則;使用 IDS 或 IPS對網絡封包進行監聽,或進一步主動阻擋攻擊;使用 WAF 在網路架構 Layer 7 保護網頁伺服器;使用 SIEM 工具收集和分析各項設備的紀錄,並藉此判斷是否有威脅及入侵;使用 EDR 系統偵測端點上異常行為。
對於以上工具,於雲端環境可考慮雲原生工具,由雲端供應商進行維運與更新,避免因錯誤操作或未即時更新,使得該工具成為破口。
訓練部分:
定期對人員做資安宣導或邀請講師培訓,提高人員資安意識。藉由社交工程(Social Engineering)演練,訓練人員不要開啟不明郵件、提防偽造身分試圖騙取帳號密碼的來電、不隨意點擊連結、包含機密敏感資料的文件應先加密再傳輸。此外,帳號密碼不應存放於隨處可見的地方,人員的系統權限,應遵循最小權限原則(The Least Privilege Principle)。
總的來說,使用雲端服務要理解共同責任模型。當擁抱雲端服務後,硬體及系統已交由雲端服務供應商作維護及更新。許多原本需由使用者考量及解決的資安議題,已轉由雲端服務供應商來處理,他們比使用者更專注於資安議題上的改進,甚至更加專業。
這對使用者的好處,不僅限於節省時間及成本,更能讓使用者專注於開發及提供服務。在雲端服務供應商於硬體儲存及傳輸加密、金鑰管理、系統維護與更新等方面承擔安全責任的同時,使用者亦要承擔其自身人員操作及系統配置上的管理責任。
相信「金鐘罩」的同時,也要「戴口罩,勤洗手」。當雲端資安藉由雙方的努力而提升,使用者便能安全地享用雲端環境的便利之處,並在競爭激烈的環境下,取得更多優勢。
作者:Eric Huang
CloudMile 台灣資安工程師,負責處理公司專案有關資安方面議題,並介紹與協助客戶使用雲端資安解決方案