[雲端環境全新架構資安防禦也要革命]
隨著企業逐步邁向雲端時代,叢培侃認為,未來資安攻擊成本將會越來越低,且會朝向以下幾個方向去發展:
第一、攻擊程式低調潛伏於內部組織中,伺機發動攻擊;
第二、阻斷式服務攻擊成本低廉效果立見;
第三、階段式攻擊:由內而外尋找可利用點;
第四、利用組織內部正常派送或管理系統弱點。
當然,雲端運算不只降低駭客攻擊成本,對企業來說,使用雲端服務也是一個降低管理成本且兼具彈性的作法,只是雲端服務的安全性,往往是造成企業裏足不前的原因。
雲端安全聯盟(Cloud Security Alliance;CSA)台灣分會創辦人蔡一郎指出,2013年雲端服務威脅主要有以下9種:資料洩露、資料遺失、帳戶劫持、不安全的API、阻斷服務、惡意的內部人員、濫用與惡意的使用、未盡職責的調查、及共享技術的議題。
其實,關於雲端安全的議題,早在2009年RSA Conference就已受到重視,CSA便是在當時由眾多廠商共同成立,並在2011年發布了新版的《雲端安全指南 v3.0》,這份指南分成3個部分共14個領域,可做為企業評估雲端服務安全的參考。SafeNet技術長Slawek Ligier表示,雲端環境可以為企業節省支出,專注在核心業務上,但是雲端運算也改變了企業對IT的管控方式。
在私有雲情境下,企業可以管控雲端平台內的所有項目,包括AP、Data、Runtime、中介軟體(MiddleWare)、O/S、虛擬化、伺服器、儲存、及網路。但在公有雲情境下,企業所能管控的項目就變少了,如果是IaaS模式,企業所能控制的只有AP、Data、Runtime、MiddleWare、O/S;而PaaS模式,企業所能管理的項目就更少了只剩下AP與Data;到了SaaS模式,則是全部交由雲端廠商來維運管理。
即便如此,企業所能管控的範圍變小了,仍應負起維護雲端資料安全的管控重任,因此,SafeNet針對虛擬化和雲端環境推出以下三種加密解決方案,為企業把關雲端資料安全:
1.Crypto Hypervisor:將HSM硬體加密模組虛擬化,以適用於虛擬和雲端環境的作業模式,包括虛擬機器本身以及相關的應用程式與內容,都可以進行加密。
2.ProtectV:保障VM與雲端基礎架構,確保Guest OS在搬移時的資料安全。
3.Cryptocard:雲端身分認證服務:透過SAML、API、RADIUS、Agent方式與多數網路設備、公/私有雲以及自行開發的系統整合,並支援多種認證器,如:OTP Token、SMS Token以及在智慧型手機上安裝Token app,提供使用者選取使用。
SafeNet亞太區資安顧問經理伍尚池進一步指出,從調查公司Verizon近期所出的資料外洩調查報告中可以看出雙因素認證的重要性,包括VPN、Intranet、雲端服務、BYOD等應用都適合導入雙因素認證機制,但目前有這麼做的企業並不多,背後原因就在於成本,企業要維運身分認證設備必須投入大量的人力與金錢,同時還可能面臨支援度問題,如是否支援遠端登錄等。
採用雲端身分認證服務不僅可以降低維運人力,在投資成本上也相對較為划算,可以說每個人每個月只要付出一杯咖啡的成本,就能享受雲端身分認證服務,而且Cryptocard支援多種認證設備,在應用上也變得更有彈性。
早期雙因素認證多半採用硬體Token,現在隨著智慧型手機普及,使用軟體將動態密碼Push在手機上的比例也就越來越高,而Cryptocard雲端身分認證服務也是採用相同作法,不另外販售Token,而是裝在手機上(Token APP),且支援各種不同手機作業系統,包括Android、Windows、iOS與BlackBerry,此外,消費者若沒有使用智慧型手機,也可透過SMS簡訊方式來接收動態密碼。
前述提及,資料外洩是企業早晚要面對的問題,如何增加駭客竊取資料的成本,成為企業進行資安防禦的另一種思維,以下介紹四種不同的加密應用模式,為企業機敏資料多加一層防護傘,即便外洩也讓駭客拿不到原始資料。
[雲端儲存安全防護 避免資料外洩風險]
企業在導入虛擬化初期的確可以享受到降低伺服器管理成本的效益,因為實體伺服器數量大幅減少,透過管理平台就能同時監控上千、上百台虛擬伺服器,但是儲存設備管理問題卻漸漸地浮上檯面。因為企業在POC與正式導入階段,可能採用不同廠商的產品,就算是同一個廠商也可能是不同型號,導致IT人員要學習好幾種儲存設備架構,因而增加管理負擔。
NetApp資深技術顧問陳勇維建議企業,最好採用可以和現有虛擬化廠商整合的雲端儲存平台,簡化管理作業,同時要具備安全防護功能,像是內建防毒軟體、資料存進來就自動掃毒,或是硬碟直接加密,另外因應BYOD趨勢,越來越多人透過行動裝置分享資料,企業最好能自建雲端儲存服務,在行動裝置上建立一個存放資料的專屬加密空間,MIS可自訂使用者存取權限,針對適當的人員、裝置、時間授予正確資訊,避免員工採用Dropbox之類的公有雲儲存服務,確保安全防禦不因行動應用而受到影響。
[虛擬環境下的資料保護]
目前企業在發展虛擬化時,不外乎以下幾種應用模式:AP伺服器、郵件伺服器、檔案伺服器、資料中心等,幾乎企業的所有資料都有可能在虛擬環境中運作,如何做好資料保護,就是一個企業值得關注的議題。
聚碩科技產品經理陳擎民認為,企業的資料加密保護機制應該涵蓋以下四個面向:虛擬環境保護、儲存環境保護、資料庫加密、資料遮罩,才能安心地把資料放在雲端。
第一、虛擬環境的資料加密,是件非常重要的事,在VM架構下的Guest OS可以很容易地在不同機器間搬移,所以Guest OS資料需要被加密金鑰保護,當使用者要啟動Guest OS時必須經過金鑰比對,如果一致才能打開,以避免有心人士私自複製Guest OS並帶離企業環境,這樣的應用模式在公雲環境下同樣適用,只要將加密伺服器放在自家機房,當未來企業不再租用雲端服務廠商的OS時,便刪除加密伺服器中的金鑰,就能避免雲服務廠商未落實砍掉Guest OS的資料外洩風險。
第二、儲存環境資料保護,虛擬化架構後面一定有個實體儲存設備,所有存放在其中的資料都必須是加密的,而使用者只能在自身權限範圍內進行存放/讀取檔案的動作,這與文件加解密的差異在於,前者有支援檔案格式的問題,後者沒有,而且還有Log可以做稽核,可以記錄誰把資料帶走。
第三、資料遮罩強調的特點在於落地遮罩,也就是資料一進入DB就是變造過的形式,與其他解決方案採用動態遮罩方式,資料明碼存放於資料庫,等到有人來下Query時再遮罩送出的做法不同,好處在於可以防止有權限人士非法匯出或DBA監守自盜。
第四、資料庫加密,除非有金鑰否則只能取得加密過的資料或假資料,一來可防止駭客,二來可避免DBA權限過大,如果沒有做DB加密,很可能從底層把資料都帶走的風險。另外,某些資料庫廠商本身就提供加密功能,但其加密元件多半安裝在主機上,容易拖累資料庫存取效能,而且還要另外買HSM來管理金鑰,其投資效益未必比較好。
[報廢儲存設備 確實銷毀資料了嗎?]
過往企業資料外洩事件原因,有很高比例來自於廢棄硬碟/磁帶,理論上來說,企業在淘汰磁帶、硬碟等儲存設備前,應該先把其中的資料銷毀才對,較常見的銷毀方式就是透過消磁機或採用物理破壞方式,但有時候因為管理上的疏失,忘了銷毀資料就丟棄設備,或是把磁帶攜出公司卻不慎遺失,導致企業資料外洩。
因此,Brocade資深技術顧問林奇志認為,直接在硬帶或磁碟上做加密,等於是多了一層保障,即便不小心發生人為或管理疏失,也不用擔心資料外洩風險。然而,對於導入光纖通道儲存區域網路(FC-SAN)的企業來說,如果採用Storage-Based的加密解決方案,在終端儲存設備做加密,很容易對效能造成或高或低的影響,畢竟儲存設備除了要頻繁地提供給前端主機做存取之外,有時可能還要負擔異地備援(DR)的任務,這些都會耗用掉控制器的資源,如果還要在上面導入加密機制,當然在效能上就會互相牽制。
比較理想的方式是採用FC-Based的加密解決方案,也就是在光纖網路上進行加密設定,企業可以依照自身需求去指定要對哪個LAN做加密,既簡單又彈性,更不必擔心加密對儲存設備效能的影響。
[行動付款 結合身分認證避免爭議]
智慧型手機普及,促使行動付款應用日趨成熟,除了目前常被討論的NFC技術外,中華電信經理劉根田指出,國外也有許多企業將二維條碼(QR Code)應用在行動付款上,消費者只要在手機上下載QR Code行動付款APP,並登錄信用卡或活期帳戶、個人基本資料,完成認證後,就可啟用手機錢包功能,日後購物,只要持手機讀取POS設備上所產生的QR Code,就能從預設的信用卡或存款戶頭中扣款。面對雲端運算的到來,企業除了擁抱它、享受雲端效益外,更別忘了要做好資料安全加密保護,才能真正駕虛擬躍雲端。
SafeNet資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
