技術專欄
隨著美中貿易戰、COVID-19疫情、烏俄戰爭、升息、通膨、經濟衰退、ESG…等海嘯一波波迎面來襲,驅使企業積極踏上數位轉型之路,其間也從原本採用的私有雲,一路延伸至私有雲、混合雲甚至多雲,連帶讓企業的防護邊界趨於模糊,導致資安破口急遽增加。
更有甚者,企業所引用的雲端服務及解決方案,其供應來源竟也淪為駭客攻擊的主要對象。如今大家只要談到供應鏈攻擊議題、就必定提及的SolarWinds、Log4j等事件,就是很典型的案例;這些事件讓不計其數企業或機構遭受池魚之殃,甚至為此付出慘重的經濟損失,顯見「雲端資安」確實已成為重中之重。
以下藉由簡單明瞭的Q&A形式,帶您快速理解雲端資安的來龍去脈。
雲端產品多為隨開即用形式,假使相關帳號或金鑰外流,代表駭客可以隨即啟用受害者的雲端資源,而且每一個操作都會產生成本,使得受害者不僅負擔無謂的成本,甚至可能被盜取機敏資訊或其他有價值的數位資產,及時遭受多重損失。
儘管如此,由於雲端系統採取「責任共享模型」,因此舉凡雲端服務的基礎設施、硬體、軟體及聯網,均由服務供應商負責守護其安全性,意謂企業無需從頭到尾自行扛起所有資安維護責任,得以直接享有下列優勢:
比傳統地端更高資安等級的基礎建設
符合多國法規
大幅降低網路故障,並且能免除機房設備故障的風險
更方便取得軟體授權
可隨開即用、迅速部署大型架構
省卻水電、網路架構及更多的維運人力配置
至於企業本身所應負擔的安全責任,將因租用服務型態的不同(IaaS、PaaS、SaaS),而有所差異;基本上諸如雲端的身份安全(亦即帳號密碼的管控)、資料安全,皆屬於企業自身的責任範圍。關於這部份,企業可尋求擅長雲端資安、甚或雲地整合資安的專業廠商加以協助。
其實現今各大公有雲平臺均有提供雲端安全相關的設定與服務,比方說提供即時監控與支援,抑或透過加密等預防措施來保護機敏資料,企業應善用這些機制,以保障雲端架構的安全與合規。
透過嚴謹的「身份識別與存取管理」(IAM)流程,形同設置強大的警衛來把關,允許合法的人進入,將未獲授權者阻擋於門外;即使獲准進入企業雲端者,也僅能在權限範圍之內執行存取與其他操作。
不可諱言,欲確保資安,即需從了解使用者行為做起;透過持續監控使用者(包含人、設備或應用程式)的行為,確保所有逾越正常基線(Baseline)或抵觸企業資安政策的異常行徑,都能被即時發覺、無所遁形。
企業可參考國際上諸如NIST CSF等安全框架,按部就班執行現狀盤點、資安成熟度評估、確立實施範圍與優先順序…等等工作,一步步打造嚴密的網路安全防護網。
由於企業普遍面臨資安人才稀缺的狀況,此時不妨尋求原廠(如AWS、Microsoft或Google)核可的MSP服務供應商的協助,有效縮短資安事件的處理時間,把衝擊降至最低,使企業能夠安心專注於本業發展。
選用多雲平臺監控管理系統,使企業能藉由單一監測平臺全面掌握多個公有雲、私有雲資訊,並且制定統一的資安管理準則,使企業的資安政策得以落實到每一個環節,不會因為不同品牌的雲、而採取不一樣的資安設計模式。
邁達特於2022年正式成為AWS受管服務商(MSP),旨在面向廣大的企業與新創客戶、提供專業的AWS雲端顧問諮詢服務與雲端託管監控服務。而邁達特曾協助資訊系統整合服務商「渥達數位」以CloudFormation模組化部署方式建立監控系統(由邁達特開發的NGM系統),並於AWS帳號建立IAM Role,授權調用AWS API以收集、建立警報,且即時監控基礎架構、應用程式及多個元件等工作負載的運行狀況和效能資料。
渥達在遷移至AWS並將服務託管予邁達特MSP後,減少了需要維持三層式架構功能的人力時間成本,並省卻硬體維運甚至水電費用等投資。更重要的,渥達能輕鬆使用AWS服務來收集Logs並進行分析,藉以了解系統的運作狀況;當出現服務異常情形,便能即時發現、即時處理。
針對資安監控部份,邁達特MSP團隊使用AWS Config針對渥達的Root Account MFA Enable制定規則,假使發現IAM User的MFA處於未啟用狀況,就會透過AWS Publish SNS Notification發送告警信通知相關人員進行處理,因而大幅提升IAM帳號安全性,避免出現惡意使用事件。
邁達特MSP團隊除定期掃描和瑞在AWS環境當中的IAM User及Root Account的MFA綁定狀態,也會針對Root Account及IAM User等Policy設定有不同的修補動作,並記錄相關狀況與結果。
此外邁達特MSP團隊特別協助和瑞規劃跳板機,並使用CIS Amazon Linux 2 Benchmark AMI,以期最大程度確保用戶的安全性。透過Amazon Inspector CIS Operating System Security Configuration Benchmarks-1.0,每7天進行一次評估,定期產生CIS清單報告,以確保和瑞旗下重要的跳板機,皆是安全無虞的。
邁達特多方匯聚AWS、Akamai、Check Point、Cisco、Citrix、Microsoft 等國際知名大廠的資安技術能量,能夠完整提供「端點保護」、「網路安全」、「雲端資安」等領域的豐富解決方案。因此邁達特可藉由診斷、評估、部署、監控、分析、優化等全方位支援,協助企業整合並客製化部署資安應用,在兼顧營運效率的前提下,解決來源廣泛的資安攻擊與潛在風險。
延伸閱讀:
