文 / 精品科技 資安顧問兼資安部經理 陳伯榆
當雲端服務與工作生活逐漸合而為一
雲端服務並不侷限雲端儲存這一項應用,有許多創新應用吸引著使用者。雲端應用可以應用在工作、教育、生活⋯等各個層面。伴隨著Web Based 技術快速發展、行動可攜(Mobility) 裝置普遍使用、以及未來必定成熟的IOT 技術,都將脫離不了雲端應用。
拉到企業切身相關的角度,需要用怎樣的思維來處理雲端應用的衝擊,無法否認的企業一定有機密性資料需要保護,而企業也可求新的雲端服務帶來創新提升效率的商機與應用。
需要將資訊安全與雲端應用進行連結
我們應該要聚焦在一個客觀且保守的安全議題上,來看企業雲端的安全使用。我們需要在企業安全管理「Reset」,加入雲端的管理元素,來檢視雲端服務在企業應用的迷思與突破。
在傳統企業運作模式上,企業組織以影印機或多功能印表機來列印公司文件,也透過郵件系統寄送文件與外內部客戶或員工進行聯繫、必要時透過USB 外接裝置移轉備份各類檔案、某些企業組織會限制內外網路接取使用、企業透過內部KM 系統或是NAS 將重要檔案集中管理⋯等。
事實是雲端服務已經都可以滿足上述的服務,將會有意想不到的變化與決定性的安全顧慮。公司員工可以使用網際網路將檔案上傳到雲端儲存空間。透過「雲端印表機」或「Google CloudPrinter」,將公司檔案直接從家中印表機印出( 不是IT 人員可管控「網路印表機」機制),或列印儲存成PDF 到雲端儲存空間。而開放的郵件系統,可以透過雲端服務,將郵件的附件搭配標題方式,自動將附件轉存一份到雲端儲存空間。員工在Office 2013 或 Office 365 透過SSL 加密儲存到雲端,公司無法解析管理其行為。或者安裝雲端APP 將電腦資料同步備份到雲端⋯等。企業將完全不設防,也難以杜絕營業秘密外洩的問題,將是企業組織的新警訊。
企業組織為何難以管控雲端?!
從第二章節的多樣雲端應用行為,反思管理階層是無法透過一紙命令就可以杜絕或管控;既然雲端是技術整合發展的產物,就必須從技術層面來解決,整合行政管理與技術管控,達到保護企業永續經營的核心資產。進一步換個角度分析,開放勢在難免,企業組織決策要適度開放雲端服務,也必要有好的配套方案,從技術層面進行管理,讓雲端服務有其效益。讓我們快速解構一下雲端技術,以幾個簡單技術分享,來了解管理雲端的難度。
- SSL 加密機制的應用:各類雲端服務,幾乎都採用SSL 方式來確保服務的使用安全,而Google, Microsoft, Apple⋯皆然。SSL 是一個加密通道,而常見HTTPS 機制就為了防止「中間人入侵擷取」而設計,且採用AES 256 以上加密方式,要擷取加密通道傳輸資訊將更為困難,即便採用採用高階駭客側錄擷取技術,也面臨無法透過中間人結構來分析處理。是否有其處理對策與方法呢?!
- 雲端分散運算結構的干擾,讓傳統IP 過濾攔阻幾乎失效,就以IT 人員常用攔阻模式,必定失效,其原因就是分散運算的機制,讓IT 人員抓不到真正的目標,而使用這透過淺易懂的網路設定,可以完全擺脫攔阻,,此外大型雲端服務公司,例如Google GHS 或是Akamai 機制,將更難以攔阻處理,除非公司內部禁止網際網路。那是一種不太適宜的處置模式。再加上未來逐漸成熟IPv6 的混用,那更是一番挑戰。
企業如何安全使用雲端服務
在公有雲與混和雲的角度來看,須從開放與禁止的務實設計以及時效上分享管理措施。導入新的雲端管控機制是一個快速有效的方式,要採用禁止模式,必須要確保技術功能設計思考到雲端每個面向,並且保有動態自訂的機制,才能提供企業整體需求。舉凡:瀏覽器上傳的管控、雲端APP 管控、Office 儲存問題、雲端印表機管控⋯等,這樣的處理模式可以達成較高的防護。如果無法立即導入,就必須衡量企業組織資訊安全政策與管理階層的態度,搭配現有資訊安全機制或設備,達成某一種程度的限制,採用這樣的機制,平心而論很難有效處理,即便採用Proxy 安全管控機制,效果也十分有限。這是企業處理雲端思維必須謹慎之處。
當企業組織選擇開放部分雲端服務時,那麼管制技術、資料保護技術以及軌跡記錄,就必須三者兼顧。不能依賴單一方案來試圖達成管控雲端的手段。畢竟企業管控,為了資訊交換流通,較少採取全面加密的處理模式,而是採用混用的模式;如果是混用模式,就必須確保機密資料必被加密處理,在企業組織資訊架構下才能閱讀編修與印出。而資料的流通與傳輸就必須仰賴軌跡記錄,讓資料外洩傷害發生時,可以有軌跡追蹤與究責,這才是一個負責的處理模式。
在私有雲的角度來看,企業自建小型私有雲機制,搭配內部既有網路資訊安全管控機制,亦可進一步建立企業資料加密管控機制。企業私有雲管控機制不論採用一般性管控機制或是高階透明加解密,都必須建立Access Control 模式,尤其是身分鑑別與授權管控兩大要素,這樣規劃設計,可以讓沒有獲得該企業認可的裝置與身分,無法開啟企業內部資料,對於外部資料可搭配審核放行機制,就可以達到內外兼顧的目的。延續公有雲設計準則中,而資料的流通與傳輸就必須仰賴軌跡記錄,以達到較好的防護機制。