甚麼是雲端保安?

雲端保安結合一系列程序、政策及科技,令雲端運算環境免受潛在的網絡保安威脅。事實上,它可在遭遇任何攻擊或入侵時,確保雲端運算模式的一致性及安全性。雲服務商雖然可提供安全的雲端基礎架構,

雲端防護

保護雲端其實並非那麼複雜,我們有很多方法可以在保護雲端的同時也保護業務盡享雲端優勢。

雲端保安始於選擇適合機構所需的服務模式,其中包括三個獨特的服務模式及四個部署選項,而服務模式選項包括:

  • 基礎設施即服務(IaaS):基礎設施即服務模式讓機構可以自行建構虛擬數據中心(vDC),在無須建立實體架構的情況下仍可享有傳統數據中心提供的雲端資源,而且無須進行定期維護、更新或維修實體機器。
  • 平台即服務(PaaS):平台即服務模式提供不同選項讓用戶供應、部署或創造軟件。

 

軟件即服務(SaaS): 透過軟件即服務模式,用戶可以無須在電腦或伺服器進行安裝即可使用軟件,例子包括 Microsoft 365(前稱 Office 365)及 Gmail。透過此選項,用戶只須擁有電腦、平板或手機即可存取不同應用程式。不同機構都使用不同名稱來形容此服務,包括 DRaaS(災難復原)、HSMaaS(硬件保安模組)、DBaaS(數據庫)及終極的 XaaS(任何事物)。視乎廠商的市場定位,有時用戶會很難決定一個產品到底是 SaaS 還是 PaaS。但最終,了解雲服務商的合約責任仍然是最重要的。雲服務商會透過 HSMaaS(硬件保安模組)或 DRMaaS(數碼權益管理)等服務來將雲端保安加入合約中。

四個部署模式為:

  • 公有雲:公有雲——可讓任何人採購使用。今時今日的最佳例子是 Amazon Web Service(AWS)、Microsoft Azure 及 Google Cloud Platform(GCP)。
  • 私有雲:私有雲專為單一機構建構,所有硬件都不會與任何人分享。私有雲可建構在公有雲或自身擁有的數據中心之內,也可由專長於私有雲的託管服務商建造。
  • 社區雲:其基本原理是由不同機構分享同一基礎架構,服務可以被分享,而數據也可在有關服務上分享。其中一個例子就是由不同政府部門共用的政府雲架構。
  • 混合雲:這包括使用以上最少兩個部署模式的架構,可以是公有加私有、公有加社區或是私有加社區。另一個可能性就是同時採用三個模式。

那一方面的雲端保安是最重要的?

所有個別的雲端保安政策都是重要的,但每個服務商都應該提供一些 被視為必要且構成整體雲端保安架構必須的核心服務。因此,確保服務商能提供這些核心服務等同於您能實施最完善的雲端保安策略。

無斷線監控:雲端保安服務商可透過隨時提供記錄來知會客戶雲端平台所發生的事情。當出現事故時,保安團隊可以檢查及比對服務商及內部的記錄,以取得潛在攻擊或改動的啟示。這可以協助更快偵測及回應事故。

變更管理:雲保安服務商應提供變更管理協約,在有需要變更、更改或移動資產,與及架設或移除伺服器時監控合規管控。他們應部署專用的變更管理應用程式來自動監控異常行為,讓您及您的團隊快速緩解或修正問題。

零信任保安管控:將關鍵任務資產及應用程式隔離於雲端網絡之外,以維持工作負載安全、私有及不被存取,此舉可協助執行保護雲端環境的保安策略。

全面包含的資料防護:服務商應提供強化的資料防護能力,包括為所有傳輸層提供額外加密、良好的資料健康情況、持續風險管理及監控、安全的檔案分享及緊密通訊等。簡單而言,服務商應該多走一步,以不同方式保護不同種類的業務資料。

先問問自己:「我擔心甚麼?」 這會協助您決定需要詢問服務商甚麼問題,及讓您了解心目中最注重的事情。

雲架構

簡單而言,雲架構就是將多個不同環境連結起來以分享軟件程式、數據庫及其他服務的可縮擴資源。基本上,此名稱通常都包含所有串聯至雲端的基礎架構及組件。

建設雲架構的基本元件包括網絡、路由器、網絡交換器、伺服器、防火牆及入侵偵測系統等。此外,雲架構亦包括所有在伺服器內的元素,包括 hypervisor 及虛擬機器等,當然亦包括有關軟件。雲架構亦需要一個雲服務商、雲架構師及雲中介以創建、管理及買賣雲服務。雖然它應該包含整個生態系統,但一般人談到雲端的時候通常都指雲架構。

很多在雲架構上使用的名稱都只須在原有的舊名稱上加入「雲」這個字即可,例如雲消費者。假如您了解消費者的定義,您會很清楚這個新名稱就代表雲服務用戶,而不會代表電訊服務用戶。

以下為一些基本例子:

  • 雲消費者:從雲服務商取得雲服務的個人或公司
  • 雲服務商:擁有資源為消費者提供所需服務的個人或公司。這包含建立伺服器、虛擬機器、數據存儲及所有客戶需要資源的科技。
  • 雲中介:為消費者管理雲服務供應、使用及表現的個人或公司,他們會代表消費者與服務商討論合作安排。
  • 雲承運商:連繫用戶至雲端的服務商,例如互聯網服務商。對機構而言,這通常是一個多協議標籤交換(MPLS)的聯繫。
  • 雲審計師:為雲服務商環境進行審核的個人或公司。審核內容包括私隱及保安等。

雲端保安架構

雲端保安始於一個加入保安成份的基礎雲端架構,傳統保安成份包括防火牆、反惡意程式及入侵偵測系統。參與設計雲端保安架構的包括雲審計師、保安架構師及保安工程師。

也就是說,雲端保安架構亦不限於硬件或軟件。

雲端保安架構應由風險管理開始。了解可能出現問題的環節及可能面對的負面影響可以協助機構作出負責任的決定。而三個最關鍵的討論範圍就是業務持續性、供應鏈及實體保安。

如果您的雲服務商出現故障,您的業務會有甚麼影響? 將伺服器、服務及數據放在雲端並不等如您不需要進行業務持續性及災難復原策劃。

如果任何人都可以步入雲服務商的數據中心,甚麼事會發生? 在 AWS、GCP 及 Azure 三大龍頭供應商,此事可能不會發生,但這並非重點所在,因為他們都在數據中心本身的保安作出了重大投資。

其他雲服務商又是怎樣做的? 您應該要求雲服務商的數據中心進行演練普查,並參與其審計,更要留意所得答案。他們是否容許您在翌日檢查數據中心? 如果您很容易就進入其數據中心,這服務商可能不是一個理想的選擇。

小型雲服務商可能根本沒有數據中心,他們可能會採用及轉售大型雲服務商的產能,而這亦是使用雲端的優勢。假如您不知道雲服務商之間的關係,在法律、法規及合約方面可能出現額外問題。您只須發問這個簡單問題:我的數據在那裡? 假如雲服務商有多個層面的服務,其答案可能很複雜。而答案也可能帶來法律後果,例如與歐盟通用資料保護法規(GDPR)相關的規定。

機構的雲端保安架構元件可能亦包含雲保安服務,例如可以添置資料外洩防護(DLPaaS)服務,或是其他可協助保安的工具,如能夠搜索個人可識別資訊的掃瞄工具,為雲架構提供充份防護。另一方面,雲保安管理亦是必須的,以確保這些服務能運作如常。

甚麼是雲原生應用程式防護計劃(CNAPP)?

雲原生應用程式防護是一組保安方案,可以協助不同的原生應用程式識別、評估、排序及適應風險。

它包含所有從單獨產品及平台搜集而來的重要功能:假影掃瞄、運作期防護及雲配置。更包括:

  • 開啟 Amazon S3 數據桶、數據庫及網絡連接埠時檢查配置錯誤
  • 運作期監控及保護雲端工作負載
  • 在容器、虛擬機器及無伺服器功能中自動偵測漏洞
  • 掃瞄 CVE、秘密、敏感資料及惡意程式
  • 基礎架構即代碼(IaC)掃瞄

 

趨勢科技是一家雲原生應用程式防護供應商,其中專為雲架構師而設的保安服務平台 Trend Cloud One™ 就可以完美配合雲原生應用程式防護架構。

雲端遵規

機構需要符合很多現有法例、法規及合約的要求。當您將資料及服務置於他人管控之下,您需要符合一些複雜的要求以確保合規。

從法律角度來看,機構需要符合歐盟通用資料保護法規(GDPR)、Sarbanes-Oxley – U.S. financial data protection(SOX)、美國健康保險隱私及責任法案(HIPAA)及其他法規。同時,信用卡防護亦在合約法下受支付卡產業安全標準協會(PCI-DSS)監管。

在識別遵規項目後,您可以採取很多行動進行處理,其中一項就是審計。審計應以標準化方式及經認證的方法進行,例如 American Institute of Certified Public Accountants 的 SSAE 18(Statement of Standards on Attestation Agreements No. 18)。審計結果將發現那些項目不符合法規要求。在決定選擇那個雲供應商時,最重要一點就是要參考報告以了解數據中心的保安層級及可預期甚麼。

相關資料

相關研究