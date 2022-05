【作者: 季平】

數位轉型浪潮席捲多年,越來越多企業採用或移轉各種複雜的雲端技術與服務。雲端安全包含所有雲端部署模型,如公有雲、私有雲、混合雲、多雲等,以及以雲端為基礎的各種服務及解決方案,如IaaS、PaaS、SaaS。當企業導入雲端運算後,資訊管理問題就從企業內部延伸到外部利害關係人,存取使用者越多,衍生的資訊安全問題也越多。

2021年企業遭網路攻擊較2020年增長50%

2021年就發生幾起引人注目的大型網路攻擊事件,導致巨額財務損失及業務中斷,如美國保險公司CNA Financial遭勒索軟體攻擊,系統感染Hades的勒索軟體變體Phoenix Locker,支付4000萬美元贖金,才順利贖回無法存取及使用的檔案內容;Microsoft Exchange Server遭攻擊,駭客竊取電子郵件並安裝惡意軟體,至少有數萬名客戶遭APT組織攻擊,也包括企業和政府機構;阿拉巴馬州的Colonial Pipeline網路遭攻擊,被迫關閉系統,媒體報導Colonial Pipeline向駭客支付近500萬美元的加密貨幣以獲取解密金鑰;美國食品加工龍頭JBS公司遭網路攻擊,影響全球多個工廠,JBS承認支付3350萬美元贖金。

Check Point發佈《2022年網路安全報告》,揭露2021年觀察到的關鍵攻擊手法和技術,包含去年初複雜程度及影響範圍前所未見的SolarWinds供應鏈攻擊事件,及年末大規模爆發的Log4j漏洞攻擊。報告指出,2021年不只關鍵基礎設施遭攻擊,雲端服務廠商的漏洞數量也不斷增長,針對供應鏈的攻擊事件層出不窮,顯示軟體供應鏈中存在重大資安風險!

另一方面,與民眾生活息息相關的行動裝置也無法倖免,越來越多攻擊者透過網路釣魚簡訊散播惡意軟體,加上疫情爆發催生企業數位轉型需求,導致新型網路威脅及網路犯罪發生率節節攀升。

Check Point數據顯示,2021年企業每週遭網路攻擊的數量較2020年增長50%,尤其是教育與研究機構,年增75%;軟體供應商所遭受的攻擊次數增幅最大,與2020年同期相比,增長146%。

雲端運算面臨7大安全威脅與挑戰

雲端安全聯盟(Cloud Security Alliance,CSA)早在2010年3月發布的《Top Threats to Cloud Computing V1.0》報告即指出,雲端運算面臨7大安全威脅:(1)不安全的介面與應用程式介面(APIs);(2)惡意的內部員工;(3)共享環境造成的議題;(4)資料遺失或外洩;(5)帳號或服務遭竊取;(6)稽核與蒐證;(7)其他未知風險。

網路攻擊事件多半因安全漏洞而起,任何雲端資料庫的設計缺失只要存在一個漏洞,都可有導致駭客竊取用戶資料,甚至是其他用戶的資料,而雲端服務供應商存放資料的地點如未落實良好的管控或備份機制,大大提高資料遺失或損毀的風險。雲端供應商使用的帳號等各項服務的安全機制若遭破解,或是有心人利用網路釣魚、詐騙、應用程式漏洞等攻擊手法取得企業帳號資訊,甚至側錄企業網路交易活動、竄改傳輸資料、假造訊息,對企業來說,損失的不只是商業獲利、贖金損失,也可能賠上商譽,影響深遠。

資料上雲的目的在共享,上雲的確具有易使用、彈性與組態調整等方便性,但過程中需留意防範未經授權的存取以避免資料外洩或遺失,此外,也要注意通訊加密以認證使用者,同時偵測潛在威脅並找出程式漏洞,如此雲端安全才有保障。

台灣數位安全聯盟榮譽理事長、雲端安全聯盟(CSA)台灣分會長蔡一郎指出,雲端運算服務對於企業營運而言,是一種營運架構與服務型態的改變,許多企業在面對雲端服務、雲端運算以及雲端安全的議題時,經常會以傳統典型的資安架構來看待雲端運算的服務方式,若未經過全面評估雲端運算與營運方式就進行應用服務的部署,很容易形成防禦層面的缺口。

誠然,雲端服務提供企業轉型最佳實踐環境,具有快速部署與取得所需資源的優點,但也伴隨著資訊安全議題。許多雲端服務共用軟硬體資源提供不同使用者,如虛擬主機等重要服務核心部分受到攻擊,就可能導致整體環境遭受攻擊,衍生各種損害。

蔡一郎認為,企業在面對雲端服務平台時可能遭遇以下挑戰:(1)不熟悉雲端服務的運作架構;(2)資安設備的管理與典型的資訊架構不同;(3)複雜的網路架構與資安政策的一致性;(4)雲服務的類型無法與企業營運搭配;(5)資料與隱私保護的問題;(6)數位轉型後的營運模式改變;(7)人為設定與營運上的失誤。

雲端運算透過軟體介面提供服務,企業應瞭解使用、管理及監控雲端服務可能帶來的資訊安全風險,安全性不佳的應用程式介面(Application Programming Interface;API)可能導致企業面臨各種安全問題。分散式阻絕服務攻擊(DDoS)一直是網際網路服務的一大威脅,雲端運算時代尤其嚴重,若DDoS造成服務停用,不只可能讓雲端服務供應商失去客戶,也可能讓雲端服務使用者蒙受重大損失。

此外,由於雲端可能提供重要商務應用服務及儲存大量商業機密資料,雲端服務供應商的在職、離職員工或業務合作夥伴若涉入惡意存取或破壞行為,將造成重大損失,因此內部人員的監控機制也很重要,應避免人為因素危害雲端安全。

14道安全鎖強化雲端資安

雲端安全聯盟所發佈的《Security Guidance for Critical Areas of Focus in Cloud Computing v4.0》將雲端運算需要考量的資安問題分成14個領域,建議企業在選擇使用雲端服務時需要關注的資安問題包含(1)雲端架構的框架;(2)治理與企業風險管理;(3)法律議題:合約與電子資料搜尋;(4)法規的遵循與稽核管理;(5)資訊管理與資料安全性;(6)互通性與可移植性;(7)傳統安全、業務持續與災難復原;(8)資料中心維運;(9)突發事件的反應;(10)應用程式的安全性機制;(11)資料的加密與金鑰的管理;(12)身分、權限與存取管理;(13)虛擬化;(14)資安即服務。

圖二 : 雲端安全聯盟所發佈的14個資安問題領域。

「雲端架構框架」是根據美國國家標準與技術研究所(National Institute of Standards and Technology, NIST)所提出的雲端運算定義:5項基本特徵、3種服務模式及4種佈署模式共同組成;「治理與企業風險管理」指雲端服務供應商應落實適當的組織架構、風險管理與法規遵循,以確保雲端運算服務資訊供應鏈的資訊安全;「法律議題:合約與電子資料搜尋」的重點在於當雲端服務發生異常事故時,雲端服務供應商與用戶對資料隱私、證據蒐集及法律的相關責任;「法規的遵循與稽核管理」指的是符合法令法規與內部規範的要求,以實施安全稽核;「資訊管理與資料安全性」是指必須依照機密性、完整性、可用性及資料生命週期實施對應的控制措施。

「互通性與可移植性」說明供應商應具備雲端服務功能性介面與用戶端管理性介面的相互運作能力,以及應用資料的可攜性能力;「傳統安全、業務持續與災難復原」用戶應檢視雲端服務供應商的環境安全及裝置設備安全,確認供應商已妥善處理傳統資安問題;「資料中心維運」是指用戶在承租雲端服務前應事先評估供應商及資料中心的營運程序,以掌握可能的安全風險;「突發事件的反應」是指建立資安事件應變小組、制訂資安事件應變措施與標準程序,確認緊急應變處理能力並依法規要求通報,避免事件擴大。

「應用程式的安全性機制」則是在雲端環境下,應用程式必須採取更為嚴謹的安全軟體發展生命週期(Secure Software Development Life Cycle, SSDLC),在需求分析、設計、開發、測試、上線、維護等階段都必須考量到安全性需求;「資料的加密與金鑰的管理」是指用戶不應依賴雲端供應商所提供的加密安全機制,而是在機密資料傳輸至雲端前利用適當的加密機制或資安產品加密資料,並將資料移動到不同的儲存地點或儲存媒體。

「身分、權限與存取管理」是指雲端用戶應儘量使用服務配置標記語言(Service Provisioning Markup Language, SPML)搭配安全宣示標記語言(Security Assertion Markup Language, SAML)及可擴展存取控制標記語言(eXtensible Access Control Markup Language, XACML)存取供應商提供的連線服務,建議利用身分辨識與存取管理(Identity and Access Management, IAM)功能輔助用戶存取雲端服務身分驗證、授權與稽核。 <待續>

