帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
14道安全鎖 強化雲端運算資訊安全
打造低風險的雲端服務架構

【作者: 季平】   2022年04月27日 星期三

瀏覽人次:【4477】

數位轉型浪潮席捲多年,越來越多企業採用或移轉各種複雜的雲端技術與服務。雲端安全包含所有雲端部署模型,如公有雲、私有雲、混合雲、多雲等,以及以雲端為基礎的各種服務及解決方案,如IaaS、PaaS、SaaS。當企業導入雲端運算後,資訊管理問題就從企業內部延伸到外部利害關係人,存取使用者越多,衍生的資訊安全問題也越多。


2021年企業遭網路攻擊較2020年增長50%

2021年就發生幾起引人注目的大型網路攻擊事件,導致巨額財務損失及業務中斷,如美國保險公司CNA Financial遭勒索軟體攻擊,系統感染Hades的勒索軟體變體Phoenix Locker,支付4000萬美元贖金,才順利贖回無法存取及使用的檔案內容;Microsoft Exchange Server遭攻擊,駭客竊取電子郵件並安裝惡意軟體,至少有數萬名客戶遭APT組織攻擊,也包括企業和政府機構;阿拉巴馬州的Colonial Pipeline網路遭攻擊,被迫關閉系統,媒體報導Colonial Pipeline向駭客支付近500萬美元的加密貨幣以獲取解密金鑰;美國食品加工龍頭JBS公司遭網路攻擊,影響全球多個工廠,JBS承認支付3350萬美元贖金。


Check Point發佈《2022年網路安全報告》,揭露2021年觀察到的關鍵攻擊手法和技術,包含去年初複雜程度及影響範圍前所未見的SolarWinds供應鏈攻擊事件,及年末大規模爆發的Log4j漏洞攻擊。報告指出,2021年不只關鍵基礎設施遭攻擊,雲端服務廠商的漏洞數量也不斷增長,針對供應鏈的攻擊事件層出不窮,顯示軟體供應鏈中存在重大資安風險!


另一方面,與民眾生活息息相關的行動裝置也無法倖免,越來越多攻擊者透過網路釣魚簡訊散播惡意軟體,加上疫情爆發催生企業數位轉型需求,導致新型網路威脅及網路犯罪發生率節節攀升。


Check Point數據顯示,2021年企業每週遭網路攻擊的數量較2020年增長50%,尤其是教育與研究機構,年增75%;軟體供應商所遭受的攻擊次數增幅最大,與2020年同期相比,增長146%。


雲端運算面臨7大安全威脅與挑戰

雲端安全聯盟(Cloud Security Alliance,CSA)早在2010年3月發布的《Top Threats to Cloud Computing V1.0》報告即指出,雲端運算面臨7大安全威脅:(1)不安全的介面與應用程式介面(APIs);(2)惡意的內部員工;(3)共享環境造成的議題;(4)資料遺失或外洩;(5)帳號或服務遭竊取;(6)稽核與蒐證;(7)其他未知風險。


網路攻擊事件多半因安全漏洞而起,任何雲端資料庫的設計缺失只要存在一個漏洞,都可有導致駭客竊取用戶資料,甚至是其他用戶的資料,而雲端服務供應商存放資料的地點如未落實良好的管控或備份機制,大大提高資料遺失或損毀的風險。雲端供應商使用的帳號等各項服務的安全機制若遭破解,或是有心人利用網路釣魚、詐騙、應用程式漏洞等攻擊手法取得企業帳號資訊,甚至側錄企業網路交易活動、竄改傳輸資料、假造訊息,對企業來說,損失的不只是商業獲利、贖金損失,也可能賠上商譽,影響深遠。


資料上雲的目的在共享,上雲的確具有易使用、彈性與組態調整等方便性,但過程中需留意防範未經授權的存取以避免資料外洩或遺失,此外,也要注意通訊加密以認證使用者,同時偵測潛在威脅並找出程式漏洞,如此雲端安全才有保障。


台灣數位安全聯盟榮譽理事長、雲端安全聯盟(CSA)台灣分會長蔡一郎指出,雲端運算服務對於企業營運而言,是一種營運架構與服務型態的改變,許多企業在面對雲端服務、雲端運算以及雲端安全的議題時,經常會以傳統典型的資安架構來看待雲端運算的服務方式,若未經過全面評估雲端運算與營運方式就進行應用服務的部署,很容易形成防禦層面的缺口。



圖一 : 台灣數位安全聯盟榮譽理事長、雲端安全聯盟(CSA)台灣分會長蔡一郎。(source:台灣數位安全聯盟)
圖一 : 台灣數位安全聯盟榮譽理事長、雲端安全聯盟(CSA)台灣分會長蔡一郎。(source:台灣數位安全聯盟)

誠然,雲端服務提供企業轉型最佳實踐環境,具有快速部署與取得所需資源的優點,但也伴隨著資訊安全議題。許多雲端服務共用軟硬體資源提供不同使用者,如虛擬主機等重要服務核心部分受到攻擊,就可能導致整體環境遭受攻擊,衍生各種損害。


蔡一郎認為,企業在面對雲端服務平台時可能遭遇以下挑戰:(1)不熟悉雲端服務的運作架構;(2)資安設備的管理與典型的資訊架構不同;(3)複雜的網路架構與資安政策的一致性;(4)雲服務的類型無法與企業營運搭配;(5)資料與隱私保護的問題;(6)數位轉型後的營運模式改變;(7)人為設定與營運上的失誤。


雲端運算透過軟體介面提供服務,企業應瞭解使用、管理及監控雲端服務可能帶來的資訊安全風險,安全性不佳的應用程式介面(Application Programming Interface;API)可能導致企業面臨各種安全問題。分散式阻絕服務攻擊(DDoS)一直是網際網路服務的一大威脅,雲端運算時代尤其嚴重,若DDoS造成服務停用,不只可能讓雲端服務供應商失去客戶,也可能讓雲端服務使用者蒙受重大損失。


此外,由於雲端可能提供重要商務應用服務及儲存大量商業機密資料,雲端服務供應商的在職、離職員工或業務合作夥伴若涉入惡意存取或破壞行為,將造成重大損失,因此內部人員的監控機制也很重要,應避免人為因素危害雲端安全。


14道安全鎖強化雲端資安

雲端安全聯盟所發佈的《Security Guidance for Critical Areas of Focus in Cloud Computing v4.0》將雲端運算需要考量的資安問題分成14個領域,建議企業在選擇使用雲端服務時需要關注的資安問題包含(1)雲端架構的框架;(2)治理與企業風險管理;(3)法律議題:合約與電子資料搜尋;(4)法規的遵循與稽核管理;(5)資訊管理與資料安全性;(6)互通性與可移植性;(7)傳統安全、業務持續與災難復原;(8)資料中心維運;(9)突發事件的反應;(10)應用程式的安全性機制;(11)資料的加密與金鑰的管理;(12)身分、權限與存取管理;(13)虛擬化;(14)資安即服務。




圖二 : 雲端安全聯盟所發佈的14個資安問題領域。
圖二 : 雲端安全聯盟所發佈的14個資安問題領域。

「雲端架構框架」是根據美國國家標準與技術研究所(National Institute of Standards and Technology, NIST)所提出的雲端運算定義:5項基本特徵、3種服務模式及4種佈署模式共同組成;「治理與企業風險管理」指雲端服務供應商應落實適當的組織架構、風險管理與法規遵循,以確保雲端運算服務資訊供應鏈的資訊安全;「法律議題:合約與電子資料搜尋」的重點在於當雲端服務發生異常事故時,雲端服務供應商與用戶對資料隱私、證據蒐集及法律的相關責任;「法規的遵循與稽核管理」指的是符合法令法規與內部規範的要求,以實施安全稽核;「資訊管理與資料安全性」是指必須依照機密性、完整性、可用性及資料生命週期實施對應的控制措施。


「互通性與可移植性」說明供應商應具備雲端服務功能性介面與用戶端管理性介面的相互運作能力,以及應用資料的可攜性能力;「傳統安全、業務持續與災難復原」用戶應檢視雲端服務供應商的環境安全及裝置設備安全,確認供應商已妥善處理傳統資安問題;「資料中心維運」是指用戶在承租雲端服務前應事先評估供應商及資料中心的營運程序,以掌握可能的安全風險;「突發事件的反應」是指建立資安事件應變小組、制訂資安事件應變措施與標準程序,確認緊急應變處理能力並依法規要求通報,避免事件擴大。


「應用程式的安全性機制」則是在雲端環境下,應用程式必須採取更為嚴謹的安全軟體發展生命週期(Secure Software Development Life Cycle, SSDLC),在需求分析、設計、開發、測試、上線、維護等階段都必須考量到安全性需求;「資料的加密與金鑰的管理」是指用戶不應依賴雲端供應商所提供的加密安全機制,而是在機密資料傳輸至雲端前利用適當的加密機制或資安產品加密資料,並將資料移動到不同的儲存地點或儲存媒體。


「身分、權限與存取管理」是指雲端用戶應儘量使用服務配置標記語言(Service Provisioning Markup Language, SPML)搭配安全宣示標記語言(Security Assertion Markup Language, SAML)及可擴展存取控制標記語言(eXtensible Access Control Markup Language, XACML)存取供應商提供的連線服務,建議利用身分辨識與存取管理(Identity and Access Management, IAM)功能輔助用戶存取雲端服務身分驗證、授權與稽核。


「虛擬化」是確保用戶在雲端的多用戶環境中可以獨立區隔,以防止Hypervisor被未經授權的用戶存取,避免用戶端遭受惡意破壞與攻擊;「資安即服務」是將資安防護移往雲端而非設於用戶端本身的環境,如此可降低企業在安全管理上的負擔,同時降低資訊安全風險。


導入雲端服務後須評估4件事

蔡一郎建議,企業在導入雲端運算的環境後,首先將面對服務平台在營運架構改變後的資安風險,包括網路安全政策的一致性、落實雲內部網路管理、規劃資料流與防禦機制、資安事件的發生與調查等,此外,企業使用雲端服務的過程中也需要同時從以下四個面向進行評估:(1)業務營運支援服務(Business Operation Support Services;BOSS);(2)資訊技術營運與支援 (Information Technology Operation and Support;ITOS);(3)技術解決方案服務 (Technology Solution Services;TSS);(4)資安與風險管理 (Security and Risk Management;SRM)。


面對雲端運算帶來的資安威脅,雲端服務供應商透過許多SaaS服務提供資安上的防禦,如端點預警機制(EDR)、資訊安全風險儀表板等,有助使用者掌握雲端服務所面臨的諸多資安風險。至於服務提供者及企業端需要如何因應才有助提高雲端資安,他認為,提供雲端運算的資訊安全防禦必須涵蓋「供給」與「需求」兩個面向,安全框架可以由零信任架構(Zero Trust Architecture;ZTA)以及安全存取安全邊界(Secure Access Service Edge;SASE)進行思考。


對於雲端服務供應商而言,透過雲端運算平台可以提供不同需要的使用者進行資源部署,而使用者的來源無法掌握,進行使用者身份識別或採用多因子認證機制,都可以改善對使用者的身份驗證。對於機敏資料的傳遞,建議可以採用端點對端點的加密通訊機制,以及強化對於端點設備與系統的安全預警能力,以增強對於遭受惡意程式攻擊時的數位韌性。



圖三 : 一致性的網路與安全政策。(source:雲端安全聯盟)
圖三 : 一致性的網路與安全政策。(source:雲端安全聯盟)

雲端安全聯盟目前有9大類共計31個研究工作小組,針對雲端安全與應用服務所衍生的資訊安全議題,結合產業專家以及主要雲端服務供應商能量,針對需要面對的問題以及未來的資安發展趨勢,進行關鍵問題與解決方案的研究。


結語

智慧聯網的時代,勒索攻擊威脅或是網站資料遭竊已成為全球資安問題,新冠肺炎疫情的爆發更加速資安需求持續升溫,新興的資安問題與資安風險成為重要議題。雖然各國政府和執法機構近年來嚴厲打擊勒索軟體組織,但與其被動應戰或等事件發生之後付出慘痛代價,然後亡羊補牢,不如主動出擊消滅網路安全風險,有效整合前述軟硬體安全基礎設施,強化雲端資安才是最佳解。


相關文章
技術認驗證服務多建置 協助臺產業建立數位創新生態
醫療用NFC的關鍵
利用雲端運算提升Moldex3D成效
傳統網路顯露疲態 SDN開啟下世代網路新革命
推動雲端技術革新的六大安全趨勢
comments powered by Disqus
相關討論
  相關新聞
» 智慧校園 ICT+AI 把關 7-11未來超商X-STORE 8啟動
» Anritsu Tech Forum 2024 揭開無線與高速技術的未來視界
» 光寶攜手新加坡科技設計大學 推動5G創新節能應用
» 施耐德電機響應星展銀行ESG Ready Program 為台灣打造減碳行動包
» 鴻海研究院與劍橋大學合作 實現端口式量子傳送技術


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.3.138.101.219
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw