快訊

芙蓉颱風生成機率大增 周五起影響台灣 雨彈炸5天

14道安全鎖 強化雲端運算資訊安全

圖一 : 台灣數位安全聯盟榮譽理事長、雲端安全聯盟(CSA)台灣分會長蔡一郎。(source:台灣數位安全聯盟)
圖一 : 台灣數位安全聯盟榮譽理事長、雲端安全聯盟(CSA)台灣分會長蔡一郎。(source:台灣數位安全聯盟)

【作者: 季平】

數位轉型浪潮席捲多年,越來越多企業採用或移轉各種複雜的雲端技術與服務。雲端安全包含所有雲端部署模型,如公有雲、私有雲、混合雲、多雲等,以及以雲端為基礎的各種服務及解決方案,如IaaS、PaaS、SaaS。當企業導入雲端運算後,資訊管理問題就從企業內部延伸到外部利害關係人,存取使用者越多,衍生的資訊安全問題也越多。

2021年企業遭網路攻擊較2020年增長50%

2021年就發生幾起引人注目的大型網路攻擊事件,導致巨額財務損失及業務中斷,如美國保險公司CNA Financial遭勒索軟體攻擊,系統感染Hades的勒索軟體變體Phoenix Locker,支付4000萬美元贖金,才順利贖回無法存取及使用的檔案內容;Microsoft Exchange Server遭攻擊,駭客竊取電子郵件並安裝惡意軟體,至少有數萬名客戶遭APT組織攻擊,也包括企業和政府機構;阿拉巴馬州的Colonial Pipeline網路遭攻擊,被迫關閉系統,媒體報導Colonial Pipeline向駭客支付近500萬美元的加密貨幣以獲取解密金鑰;美國食品加工龍頭JBS公司遭網路攻擊,影響全球多個工廠,JBS承認支付3350萬美元贖金。

Check Point發佈《2022年網路安全報告》,揭露2021年觀察到的關鍵攻擊手法和技術,包含去年初複雜程度及影響範圍前所未見的SolarWinds供應鏈攻擊事件,及年末大規模爆發的Log4j漏洞攻擊。報告指出,2021年不只關鍵基礎設施遭攻擊,雲端服務廠商的漏洞數量也不斷增長,針對供應鏈的攻擊事件層出不窮,顯示軟體供應鏈中存在重大資安風險!

另一方面,與民眾生活息息相關的行動裝置也無法倖免,越來越多攻擊者透過網路釣魚簡訊散播惡意軟體,加上疫情爆發催生企業數位轉型需求,導致新型網路威脅及網路犯罪發生率節節攀升。

Check Point數據顯示,2021年企業每週遭網路攻擊的數量較2020年增長50%,尤其是教育與研究機構,年增75%;軟體供應商所遭受的攻擊次數增幅最大,與2020年同期相比,增長146%。

雲端運算面臨7大安全威脅與挑戰

雲端安全聯盟(Cloud Security Alliance,CSA)早在2010年3月發布的《Top Threats to Cloud Computing V1.0》報告即指出,雲端運算面臨7大安全威脅:(1)不安全的介面與應用程式介面(APIs);(2)惡意的內部員工;(3)共享環境造成的議題;(4)資料遺失或外洩;(5)帳號或服務遭竊取;(6)稽核與蒐證;(7)其他未知風險。

網路攻擊事件多半因安全漏洞而起,任何雲端資料庫的設計缺失只要存在一個漏洞,都可有導致駭客竊取用戶資料,甚至是其他用戶的資料,而雲端服務供應商存放資料的地點如未落實良好的管控或備份機制,大大提高資料遺失或損毀的風險。雲端供應商使用的帳號等各項服務的安全機制若遭破解,或是有心人利用網路釣魚、詐騙、應用程式漏洞等攻擊手法取得企業帳號資訊,甚至側錄企業網路交易活動、竄改傳輸資料、假造訊息,對企業來說,損失的不只是商業獲利、贖金損失,也可能賠上商譽,影響深遠。

資料上雲的目的在共享,上雲的確具有易使用、彈性與組態調整等方便性,但過程中需留意防範未經授權的存取以避免資料外洩或遺失,此外,也要注意通訊加密以認證使用者,同時偵測潛在威脅並找出程式漏洞,如此雲端安全才有保障。

台灣數位安全聯盟榮譽理事長、雲端安全聯盟(CSA)台灣分會長蔡一郎指出,雲端運算服務對於企業營運而言,是一種營運架構與服務型態的改變,許多企業在面對雲端服務、雲端運算以及雲端安全的議題時,經常會以傳統典型的資安架構來看待雲端運算的服務方式,若未經過全面評估雲端運算與營運方式就進行應用服務的部署,很容易形成防禦層面的缺口。

誠然,雲端服務提供企業轉型最佳實踐環境,具有快速部署與取得所需資源的優點,但也伴隨著資訊安全議題。許多雲端服務共用軟硬體資源提供不同使用者,如虛擬主機等重要服務核心部分受到攻擊,就可能導致整體環境遭受攻擊,衍生各種損害。

蔡一郎認為,企業在面對雲端服務平台時可能遭遇以下挑戰:(1)不熟悉雲端服務的運作架構;(2)資安設備的管理與典型的資訊架構不同;(3)複雜的網路架構與資安政策的一致性;(4)雲服務的類型無法與企業營運搭配;(5)資料與隱私保護的問題;(6)數位轉型後的營運模式改變;(7)人為設定與營運上的失誤。

雲端運算透過軟體介面提供服務,企業應瞭解使用、管理及監控雲端服務可能帶來的資訊安全風險,安全性不佳的應用程式介面(Application Programming Interface;API)可能導致企業面臨各種安全問題。分散式阻絕服務攻擊(DDoS)一直是網際網路服務的一大威脅,雲端運算時代尤其嚴重,若DDoS造成服務停用,不只可能讓雲端服務供應商失去客戶,也可能讓雲端服務使用者蒙受重大損失。

此外,由於雲端可能提供重要商務應用服務及儲存大量商業機密資料,雲端服務供應商的在職、離職員工或業務合作夥伴若涉入惡意存取或破壞行為,將造成重大損失,因此內部人員的監控機制也很重要,應避免人為因素危害雲端安全。

14道安全鎖強化雲端資安

雲端安全聯盟所發佈的《Security Guidance for Critical Areas of Focus in Cloud Computing v4.0》將雲端運算需要考量的資安問題分成14個領域,建議企業在選擇使用雲端服務時需要關注的資安問題包含(1)雲端架構的框架;(2)治理與企業風險管理;(3)法律議題:合約與電子資料搜尋;(4)法規的遵循與稽核管理;(5)資訊管理與資料安全性;(6)互通性與可移植性;(7)傳統安全、業務持續與災難復原;(8)資料中心維運;(9)突發事件的反應;(10)應用程式的安全性機制;(11)資料的加密與金鑰的管理;(12)身分、權限與存取管理;(13)虛擬化;(14)資安即服務。

圖二 : 雲端安全聯盟所發佈的14個資安問題領域。
圖二 : 雲端安全聯盟所發佈的14個資安問題領域。

「雲端架構框架」是根據美國國家標準與技術研究所(National Institute of Standards and Technology, NIST)所提出的雲端運算定義:5項基本特徵、3種服務模式及4種佈署模式共同組成;「治理與企業風險管理」指雲端服務供應商應落實適當的組織架構、風險管理與法規遵循,以確保雲端運算服務資訊供應鏈的資訊安全;「法律議題:合約與電子資料搜尋」的重點在於當雲端服務發生異常事故時,雲端服務供應商與用戶對資料隱私、證據蒐集及法律的相關責任;「法規的遵循與稽核管理」指的是符合法令法規與內部規範的要求,以實施安全稽核;「資訊管理與資料安全性」是指必須依照機密性、完整性、可用性及資料生命週期實施對應的控制措施。

「互通性與可移植性」說明供應商應具備雲端服務功能性介面與用戶端管理性介面的相互運作能力,以及應用資料的可攜性能力;「傳統安全、業務持續與災難復原」用戶應檢視雲端服務供應商的環境安全及裝置設備安全,確認供應商已妥善處理傳統資安問題;「資料中心維運」是指用戶在承租雲端服務前應事先評估供應商及資料中心的營運程序,以掌握可能的安全風險;「突發事件的反應」是指建立資安事件應變小組、制訂資安事件應變措施與標準程序,確認緊急應變處理能力並依法規要求通報,避免事件擴大。

「應用程式的安全性機制」則是在雲端環境下,應用程式必須採取更為嚴謹的安全軟體發展生命週期(Secure Software Development Life Cycle, SSDLC),在需求分析、設計、開發、測試、上線、維護等階段都必須考量到安全性需求;「資料的加密與金鑰的管理」是指用戶不應依賴雲端供應商所提供的加密安全機制,而是在機密資料傳輸至雲端前利用適當的加密機制或資安產品加密資料,並將資料移動到不同的儲存地點或儲存媒體。

「身分、權限與存取管理」是指雲端用戶應儘量使用服務配置標記語言(Service Provisioning Markup Language, SPML)搭配安全宣示標記語言(Security Assertion Markup Language, SAML)及可擴展存取控制標記語言(eXtensible Access Control Markup Language, XACML)存取供應商提供的連線服務,建議利用身分辨識與存取管理(Identity and Access Management, IAM)功能輔助用戶存取雲端服務身分驗證、授權與稽核。<待續>

【欲閱讀更豐富的內容,請參閱CTIMES雜誌 2022 年第 366 期5 月號】

2022.5月(第366期)雲端運算的五道金牌
2022.5月(第366期)雲端運算的五道金牌

相關新聞

5G專網的三大部署攻略

新一代的製造模式,例如工業自動化,通常伴隨著嚴苛的服務品質(QoS)要求,不論是工廠的製造流程,或是廠房內部使用的通訊系統,都要遵守業界規範。因此,製造商對無線通訊業者寄予厚望,亟需具備超高可靠性、網路備援、進階安全功能與全年高效運轉的網路服務。

斷鏈疑慮浮升 俄烏戰火引爆產業供應瓶頸

砲火、坦克、斷壁殘垣、傷亡畫面….,俄烏戰爭緊緊吸引全球目光,全世界都能感受到戰爭帶來的影響,且影響的程度取決於戰爭持續多久。 俄羅斯境內擁有豐富天然資源,是許多與能源、農產品和稀貴金屬等相關大宗商品的生產及出口大國。俄羅斯入侵烏克蘭,美歐國家傾向祭出各類制裁,包括阻斷許多大宗商品自俄出口,造成供應中斷的危機出現。斷鏈危機引發商品成本上揚的壓力,恐引爆後續一連串漲價效應,使得近來全球關注的通膨問題將更趨嚴重。

開啟任意門 發現元宇宙新商機

自從社群媒體龍頭Facebook執行長祖克柏(Mark Zuckerberg)將Facebook更名為Meta,正式宣告元宇宙(Metaverse)時代來臨。研究機構Gartner預測:2026年全球約有25%的消費人口每日投入一小時在元宇宙平台,完成購物、工作、社交、學習等生活大小事。元宇宙結合虛實融合、數位經濟與數位科技三元素,催生各種新的應用模式及新商模。搶攻元宇宙商機,現在就得提早佈局!

無線連結重要性日增 5G部署規模持續擴大

回顧2021年,世局多變化,外在影響包括了疫情蔓延以及國際間的大國對抗,這些對於台灣來說,帶來了對產業的實際影響,然而卻也伴隨著利益。例如轉單的部分,台灣不論是在封測與被動元件等方面都有受益。而經歷了原物料與晶片短缺等挑戰,許多原先的規劃都被迫延後,我們也可以發現到在這一波的物料短缺中,成熟製程多半受到了影響,而先進製程卻相對未受到大幅度的衝擊。

企業創新契機 永續經營與數位轉型並行

近期由於疫情急遽升溫,不少企業陸續啟動異地辦公與分流上班,這不僅使得企業管理成為了當務之急,也使得企業面臨更多資安挑戰。企業所具備的資安防護能力,儼然已成為在後疫情時代中,保有競爭力、業務能穩定運轉及成長的重要關鍵。根據勤業眾信Deloitte《2021年網路資安大調查》報告指出,過半數企業認為近年資安風險持續增加,近七成受訪企業表示,今年遭受的網路攻擊較往年有顯著增加之趨勢,也促使企業開始轉型至新一代零信任(Zero Trust)安全模式,並強化資安意識及防護機制的應變能力。

14道安全鎖 強化雲端運算資訊安全

數位轉型浪潮席捲多年,越來越多企業採用或移轉各種複雜的雲端技術與服務。雲端安全包含所有雲端部署模型,如公有雲、私有雲、混合雲、多雲等,以及以雲端為基礎的各種服務及解決方案,如IaaS、PaaS、SaaS。當企業導入雲端運算後,資訊管理問題就從企業內部延伸到外部利害關係人,存取使用者越多,衍生的資訊安全問題也越多。

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。