何謂雲端防護?

雲端防護是指所有強化雲端式運算環境安全以防範網路資安潛在威脅的程序、政策及技術。實務上,雲端防護可在雲端運算環境遭遇任何攻擊或駭客入侵時確保其完整性與安全性。雲端服務供應商負責建立安全的雲端基礎架構。

雲端防護

保護雲端安全也許聽起來很複雜,但其實不然。您有許多方式可以同時兼顧您的企業安全與雲端安全,同時還能徹底發揮雲端所能提供的所有效益。

雲端防護首先應該從挑選適當的服務模式來配合您的企業需求著手。雲端防護產品共有三種獨特的服務模式與四種部署模式可供選擇。三種服務模式分別為:

  • 基礎架構服務 (Infrastructure as a Service,簡稱 IaaS):IaaS 模式提供了一個基礎來讓企業打造自己的虛擬資料中心(vDC)。虛擬資料中心利用雲端式資源來提供傳統實體資料中心所能提供的效益。採用虛擬化資料中心的好處是不需定期維護、更新或維修實體設備。
  • 平台服務 (Platform as a Service,簡稱 PaaS):PaaS 模式為客戶提供了各式各樣配置、部署或開發軟體的選項。

 

軟體服務 (Software as a Service,簡稱 SaaS): 在 SaaS 模式下,客戶不需使用自己的電腦或伺服器來架設軟體,例如 Microsoft 365 (原 Office 365) 及 Gmail。透過這樣的模式,客戶只需一台電腦、平白或手機就能使用每套軟體。廠商經常會使用各式各樣的詞彙來突顯其自家產品,從 DRaaS (災難復原) 到 HSMaaS (硬體防護模組)、DBaaS (資料庫) 以及 XaaS (泛指各種服務) 等等。不過,視廠商的行銷重點為何,某項產品到底是 SaaS 或 PaaS 有時並不容易分辨,但其實最終還是要看雲端廠商的合約內容比較重要。雲端廠商會以附約的方式在雲端合約中增加額外的資安服務,如:HSMaaS (硬體防護模組) 或 DRMaaS (數位版權管理)。

四種部署模式分別為:

  • 公有:人人都能公開採購,眼前最佳的範例就是 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP)。
  • 私有:專為某家公司所打造,底層的硬體不與他人共享。私有模式也可建構在公有雲或您自己的資料中心之上,或是專門打造私有雲的某家廠商,也就是託管服務供應商。
  • 社群:這是一種企業之間共享的概念,可以是服務共享,或者是服務上的資料共享。一個例子就是由政府統一建立一套雲端讓各個不同單位共享。
  • 混合:至少要使用到前述三種部署模式中的其中兩種才算,例如:公有與私有、私有與社群,或者公有與社群。還有一種可能是混合全部三種。

雲端防護的哪一個層面最重要?

對雲端防護政策來說,所有的層面都很重要,但仍有某些支柱是每一家廠商都應該提供的。這些就是雲端防護基礎架構必要、同時也是最重要的層面。確保您所挑選的廠商能夠涵蓋這些支柱對於建置一套最完整的雲端防護策略至關重要。

持續監控:雲端防護廠商可記錄您雲端平台上的所有事件,好讓您知道發生了什麼事。萬一發生資安事件,您的資安團隊就能檢視並比對您內部的記錄檔與雲端廠商的記錄來發掘潛在的攻擊和變更。如此有助於快速偵測及回應任何可能發生的事件。

變更管理:您的雲端防護廠商應該提供一些變更管理機制,以便在遇到變更請求、資產修改或移動、或者配置新伺服器或將伺服器除役時,落實符合法規的管控。企業可部署專門的變更管理應用程式來自動監控異常行為,好讓您或您的團隊迅速採取行動來加以防止或矯正。

零信任資安控管:將您的營運關鍵資產和應用程式與雲端網路隔離。確保工作負載的安全及私密性以防止存取,有助於貫徹資安政策來保護您的雲端環境。

面面俱到的資料防護:您的廠商應該提供進階資料防護,此外再配合:所有傳輸層加密、良好的資料防護、持續的風險管理監控、安全的檔案分享,以及滴水不漏的安全通訊。簡而言之,您的供應商必須盡一切努力在各個面向、方位、形式上保護您的企業資料。

問問您自己:「我擔心的是什麼?」 這有助於您決定您該詢問雲端供應商什麼問題,好讓您了解您該記住的最重要層面。

雲端架構

雲端架構,簡單來說,就是所有集合起來讓軟體、應用程式、資料庫以及其他服務共享可擴充資源的一切環境。基本上,就是指所有共同運作以構成所謂「雲端」的基礎架構與元件。

一個雲端所必要的基本建構元件包括:網路、路由器、交換器、伺服器、防火牆,以及入侵防護系統。雲端也包括伺服器內部的所有元素,例如:虛擬化監管程式 (Hypervisor) 與虛擬機器 (VM),當然還有軟體。此外,雲端架構還需要雲端供應商、雲端架構師及雲端仲介業者來建立、管理及買賣雲端服務。這牽涉到一整個生態系,但當人們談到「雲端」時,通常指的是雲端架構。

許多涉及到雲端架構的詞彙,都只是在原有的詞彙加上「雲端」兩個字而已,例如:雲端消費者。只要您了解什麼是「消費者」,那麼您就了解什麼是「雲端消費者」,也就是雲端服務 (而非其他服務,比方說電話服務) 的消費者。

以下是一些基本的範例:

  • 雲端消費者:使用某雲端供應商提供之服務的個人或企業。
  • 雲端供應商:擁有資源可為消費者提供這項服務的個人或企業。這牽涉到一些所需的技術來建立伺服器、虛擬機器、資料儲存以及其他客戶所要的資源。
  • 雲端仲介業者:負責為消費者管理雲端供應、使用及效能的個人或企業,並代替消費者與供應商打交道。
  • 雲端電信業者:這類電信業者是負責將企業連上雲端的服務供應商,例如您的網際網路服務供應商。這對企業來說,一般是使用多協定標籤交換 (MPLS) 連線。
  • 雲端稽核業者:負責稽核雲端供應商環境的個人或企業,包括:隱私權稽核與資安稽核。

雲端防護架構

要確保雲端安全,首先要從雲端防護架構著手,也就是在既有的基礎架構上加入資安元素。傳統的資安元素包括:防火牆 (FW)、惡意程式防護以及入侵防護 (IDS)。此外,也需要雲端稽核人員、資安架構師及資安工程師,來設計雲端內外整體的安全結構。

換言之,雲端資安架構並非只侷限於硬體或軟體。

雲端防護架構首先應從風險管理著手。了解哪些環節可能出現問題,以及企業可能受到什麼衝擊,有助於企業做出更明智的決策。這其中有三個需要仔細探討的關鍵層面:企業永續性、供應鏈,以及實體保全。

例如,如果您的供應商出了問題,您的企業將會受到什麼影響? 將伺服器、服務及資料移到雲端,不代表您就不需做好企業永續性及災難復原的規劃。

萬一有任何人進入雲端供應商的資料中心將發生什麼狀況? 對雲端三巨頭 (AWS、GCP 及 Azure) 而言,這樣的事不會輕易發生,而這就是重點所在。這幾家廠商可投入大量的資金來確保資料中心安全,

但其他的雲端供應商呢? 當您在評估任何雲端供應商時,您可向對方要求參觀其資料中心以進行稽核,然後觀察他們的回應。他們是否願意明天就帶您去參觀他們的資料中心? 如果他們的資料中心隨便人都可以輕易進出,那麼您或許應該再考慮一下。

較小型的供應商很可能根本沒有實體資料中心,很可能他們只是向大型雲端供應商購買資源,然後再轉賣。這就是採用雲端的優勢以及好處之一。不過,如果雲端廠商之間的關係不清不楚,那就可能衍生法律、法規與合約的問題。您可以問廠商一個很簡單的問題:我的資料會存放在哪裡? 如果雲端已經過層層轉包,那這問題就很難回答,這有可能會產生法律上的問題,例如違反歐盟通用資料保護法 (GDPR)。

企業的雲端防護架構當中也可能會包含一些雲端防護服務。企業可能採購 DLPaaS (資料外洩防護) 之類的服務,然後使用一些資安輔助工具,例如使用掃描工具來搜尋個人身分識別資訊 (PII) 以確定該資料受到妥善保護。要確保這些服務都正常運作,雲端防護管理將是必要一環。

什麼是雲端原生應用程式防護平台 (CNAPP)?

CNAPP 是一群用來協助發掘、評估、判斷優先次序及因應各種雲端原生應用程式風險的防護解決方案。

因此,CNAPP 匯集了各個零散產品與平台的最重要功能:攻擊痕跡掃描、執行時期防護以及雲端組態設定。例如以下功能:

  • 開放式 Amazon S3 儲存貯體 (bucket)、資料庫與網路連接埠的組態設定檢查。
  • 雲端工作負載的執行時期間監控與防護。
  • 自動偵測容器、虛擬機器 (VM) 或無伺服器 (serverless) 功能內的漏洞。
  • 針對漏洞 (CVE)、機密、敏感資料與惡意程式的暴險掃描。
  • 基礎架構程式碼 (IaC) 掃描

 

趨勢科技可被視為一家 CNAPP 廠商,例如其 Trend Micro Cloud One™ 產品是專為雲端開發人員設計的防護服務平台,非常符合所謂的 CNAPP 架構。

雲端法規遵循

企業有許多必須遵守的法律、規範及合約。當您將資料和服務交到別人手中,就必須藉由一些複雜的要求來確保他們符合法規。

就法律而言,企業必須遵守歐盟通用資料保護法 (EU GDPR)、美國沙賓法案 - 金融資料保護 (SOX)、美國健康保險可攜性與責任法案 - 醫療 (HIPAA) 等各種法規。此外在信用卡保護方面則有支付卡產業資料安全標準 (PCI-DSS)。

一旦找出需要遵循的法規,您就能採取對應的行動,稽核就是其中之一。稽核應透過標準化方式與經過驗證的方法來執行,例如:美國會計師協會的 SSAE 18 (鑑證業務準則公告第 18 號)。從稽核結果就能看出哪些地方可能不符合法規。當決定要挑選哪一家雲端供應商時,很重要的一點就是閱讀這類報告來了解其資料中心的安全等級是否符合您的期待。

相關文章

相關研究