技術專欄
隨著美中貿易戰、COVID-19疫情、烏俄戰爭、升息、通膨、經濟衰退、ESG…等海嘯一波波迎面來襲,驅使企業積極踏上數位轉型之路,其間也從原本採用的私有雲,一路延伸至私有雲、混合雲甚至多雲,連帶讓企業的防護邊界趨於模糊,導致資安破口急遽增加。
更有甚者,企業所引用的雲端服務及解決方案,其供應來源竟也淪為駭客攻擊的主要對象。如今大家只要談到供應鏈攻擊議題、就必定提及的SolarWinds、Log4j等事件,就是很典型的案例;這些事件讓不計其數企業或機構遭受池魚之殃,甚至為此付出慘重的經濟損失,顯見「雲端資安」確實已成為重中之重。
以下藉由簡單明瞭的Q&A形式,帶您快速理解雲端資安的來龍去脈。
現今的企業環境瞬息萬變,數位轉型已成為企業生存與競爭的關鍵。將資料與系統「上雲」(也就是遷移至雲端平台)不再只是科技公司的選項,而是跨產業普遍採用的策略。雲端運算提供了更靈活的資源使用方式、更快的部署能力,以及更穩定的營運支援,幫助企業節省時間與成本,同時提升創新速度。
上雲的核心優勢包括:
企業常擔心資料放上雲後會失去掌控,或成為駭客攻擊的目標,這些擔憂有其道理。然而,現代雲端服務的安全性,已經發展到足以滿足甚至超越企業自行管理的標準。許多資安事件的發生,其實源自於內部管理不當,而非雲端本身的漏洞。換言之,只要有正確的資安治理觀念與技術實施,上雲反而是降低風險的方式。
雲端資安可控的原因如下:
「上雲」不是貿然冒險,而是企業在風險與效益之間做出的理性抉擇。只要配合恰當的資安架構與治理原則,雲端反而是更穩定、更安全、更具競爭力的解方。
雲端產品多為隨開即用形式,假使相關帳號或金鑰外流,代表駭客可以隨即啟用受害者的雲端資源,而且每一個操作都會產生成本,使得受害者不僅負擔無謂的成本,甚至可能被盜取機敏資訊或其他有價值的數位資產,及時遭受多重損失。
儘管如此,由於雲端系統採取「責任共享模型」,因此舉凡雲端服務的基礎設施、硬體、軟體及聯網,均由服務供應商負責守護其安全性,意謂企業無需從頭到尾自行扛起所有資安維護責任,得以直接享有下列優勢:
比傳統地端更高資安等級的基礎建設
符合多國法規
大幅降低網路故障,並且能免除機房設備故障的風險
更方便取得軟體授權
可隨開即用、迅速部署大型架構
省卻水電、網路架構及更多的維運人力配置
至於企業本身所應負擔的安全責任,將因租用服務型態的不同(IaaS、PaaS、SaaS),而有所差異;基本上諸如雲端的身份安全(亦即帳號密碼的管控)、資料安全,皆屬於企業自身的責任範圍。關於這部份,企業可尋求擅長雲端資安、甚或雲地整合資安的專業廠商加以協助。
其實現今各大公有雲平臺均有提供雲端安全相關的設定與服務,比方說提供即時監控與支援,抑或透過加密等預防措施來保護機敏資料,企業應善用這些機制,以保障雲端架構的安全與合規。
透過嚴謹的「身份識別與存取管理」(IAM)流程,形同設置強大的警衛來把關,允許合法的人進入,將未獲授權者阻擋於門外;即使獲准進入企業雲端者,也僅能在權限範圍之內執行存取與其他操作。
不可諱言,欲確保資安,即需從了解使用者行為做起;透過持續監控使用者(包含人、設備或應用程式)的行為,確保所有逾越正常基線(Baseline)或抵觸企業資安政策的異常行徑,都能被即時發覺、無所遁形。
企業可參考國際上諸如NIST CSF等安全框架,按部就班執行現狀盤點、資安成熟度評估、確立實施範圍與優先順序…等等工作,一步步打造嚴密的網路安全防護網。
由於企業普遍面臨資安人才稀缺的狀況,此時不妨尋求原廠(如AWS、Microsoft或Google)核可的MSP服務供應商的協助,有效縮短資安事件的處理時間,把衝擊降至最低,使企業能夠安心專注於本業發展。
以下介紹一些有關維護雲端資安安全性的關鍵技術、常見做法。
雲端環境中,資料的傳輸與儲存皆可能暴露於各類資安風險之下,尤其是中間人攻擊、儲存媒體竊取、或未經授權的存取。因此,加密技術成為資料安全的第一道防線。企業必須根據資料的敏感性與使用場景,採用多層次的加密策略來保障資料完整性與機密性。
常見的加密實作方式包括:
雲端架構的彈性與開放性讓資源部署與擴充變得更為便利,但也帶來使用者身份與存取行為管理的挑戰。若缺乏嚴謹的權限設計,極容易成為駭客入侵或內部人員誤用的破口。因此,身分與存取管理(IAM)是維護雲端資源秩序的根本。
企業應落實下列 IAM 原則:
儘管完善的帳號與權限設計能降低不當存取的可能性,但在帳密外洩風險無法完全排除的前提下,仍需額外的身份驗證措施作為防線。多因子驗證(MFA)便是在此背景下被視為必要的基本資安機制。
MFA 要求使用者在輸入帳號密碼之外,再提供額外一項驗證要素,例如一次性簡訊碼、手機驗證 App、硬體金鑰或生物辨識。透過多重驗證,可大幅降低單一認證失效時的風險,即便攻擊者取得帳密,也難以成功登入。
傳統網路安全觀念多建立於「內網可信、外網不可信」的邊界防禦邏輯,但這套假設在今日的雲端環境中已不再適用。企業內部的存取行為也可能藏有風險來源,特別是在員工遠端工作、服務分散於多雲架構之下,單純依賴邊界管控的模式容易失守。
在此架構下,每一次存取都必須經過驗證與授權,不論其來源是來自外部或內部網路。此外,所有行為必須被記錄與分析,以便在第一時間發現異常活動。這樣的策略對於防堵如 lateral movement(橫向移動)等進階攻擊手法特別有效,也為雲端環境中高度彈性與可變的使用情境提供強而有力的安全支撐。
即便在各項資安機制完備的情況下,仍無法保證威脅不會發生。因此,能夠即時監控系統行為並主動偵測潛在風險,是企業在雲端環境維持資安韌性的關鍵。
現代企業多半會導入 SIEM(Security Information and Event Management)平台,彙整所有使用者、設備與服務的日誌,進行統一的風險評估與事件關聯分析。另一方面,主流雲平台本身也提供內建的安全監控工具,例如 AWS GuardDuty、Azure Security Center,能針對特定服務與資源異常行為(如暴力破解、掃描行為、不尋常的地理位置存取)提出即時告警。
現代企業使用雲端服務時,最根本的架構劃分是 IaaS、PaaS、SaaS。這三者本質上是由基礎設施到應用程式的管理責任逐漸從使用者轉移至雲服務供應商的過程。
企業在選擇哪一種服務模型時,取決於希望保有多少控制權、具備多少內部技術能力,以及對安全治理的熟悉程度。在資訊安全的角度上,這三者並不是風險高低的排序,而是責任分工的不同:
Infrastructure as a Service(IaaS)是企業上雲的第一層,提供虛擬化的運算、儲存與網路資源。企業在這個模型下,擁有與自建機房幾乎相同的管理彈性,可以自由安裝作業系統、中介軟體與應用程式。
這樣的彈性也意味著企業必須自行處理大量的資安細節,包含防火牆設定、漏洞修補、使用者權限控管等。如果企業原先的 IT 能力就以基礎設施為主,IaaS 是合適的選擇。
在 IaaS 下,資安責任集中在:
常見的平台如 AWS EC2、Azure Virtual Machines、Google Compute Engine 等,均屬此類。
Platform as a Service(PaaS)則將作業系統與中介軟體的維護責任交由供應商處理,企業只需關注應用程式的邏輯與資料管理。這對開發團隊來說極具吸引力,因為它大幅簡化了環境部署與版本升級流程。
在資安管理方面,雖然底層平台由供應商維護,但應用層依舊掌握在企業手中。因此漏洞掃描、API 權限設計、Session 管理等,依然需要由企業自行制定與監控。
在 PaaS 模型下,資安重點轉向:
Google App Engine、Heroku、Azure App Services 等平台屬於此類,廣泛用於現代 Web 與移動應用開發。
Software as a Service(SaaS)則是使用者最容易接觸到的雲端服務模型,它完全由供應商管理軟體、資料儲存與平台更新,企業僅需透過網頁或 App 存取服務。這種模式下的資訊安全議題,並不在於基礎設施,而集中在帳號控管、資料權限與使用者行為。
由於資料儲存在供應商的伺服器上,企業需格外留意「誰有權限存取什麼資料」、「如何防止誤用、濫用或資料外洩」,這些不再是系統層級的問題,而是治理層級的挑戰。
在 SaaS 模型下,資安焦點主要在於:
常見的 SaaS 工具如 Salesforce、Slack、Google Workspace、Zoom 等,雖然使用門檻低,但對機密資料的治理依然不可忽視。
選用多雲平臺監控管理系統,使企業能藉由單一監測平臺全面掌握多個公有雲、私有雲資訊,並且制定統一的資安管理準則,使企業的資安政策得以落實到每一個環節,不會因為不同品牌的雲、而採取不一樣的資安設計模式。
邁達特於2022年正式成為AWS受管服務商(MSP),旨在面向廣大的企業與新創客戶、提供專業的AWS雲端顧問諮詢服務與雲端託管監控服務。而邁達特曾協助資訊系統整合服務商「渥達數位」以CloudFormation模組化部署方式建立監控系統(由邁達特開發的NGM系統),並於AWS帳號建立IAM Role,授權調用AWS API以收集、建立警報,且即時監控基礎架構、應用程式及多個元件等工作負載的運行狀況和效能資料。
渥達在遷移至AWS並將服務託管予邁達特MSP後,減少了需要維持三層式架構功能的人力時間成本,並省卻硬體維運甚至水電費用等投資。更重要的,渥達能輕鬆使用AWS服務來收集Logs並進行分析,藉以了解系統的運作狀況;當出現服務異常情形,便能即時發現、即時處理。
針對資安監控部份,邁達特MSP團隊使用AWS Config針對渥達的Root Account MFA Enable制定規則,假使發現IAM User的MFA處於未啟用狀況,就會透過AWS Publish SNS Notification發送告警信通知相關人員進行處理,因而大幅提升IAM帳號安全性,避免出現惡意使用事件。
邁達特MSP團隊除定期掃描和瑞在AWS環境當中的IAM User及Root Account的MFA綁定狀態,也會針對Root Account及IAM User等Policy設定有不同的修補動作,並記錄相關狀況與結果。
此外邁達特MSP團隊特別協助和瑞規劃跳板機,並使用CIS Amazon Linux 2 Benchmark AMI,以期最大程度確保用戶的安全性。透過Amazon Inspector CIS Operating System Security Configuration Benchmarks-1.0,每7天進行一次評估,定期產生CIS清單報告,以確保和瑞旗下重要的跳板機,皆是安全無虞的。
邁達特多方匯聚AWS、Akamai、Check Point、Cisco、Citrix、Microsoft 等國際知名大廠的資安技術能量,能夠完整提供「端點保護」、「網路安全」、「雲端資安」等領域的豐富解決方案。因此邁達特可藉由診斷、評估、部署、監控、分析、優化等全方位支援,協助企業整合並客製化部署資安應用,在兼顧營運效率的前提下,解決來源廣泛的資安攻擊與潛在風險。
常見雲端資安問題整理:
