伺服器是企業組織體系中重要端點裝置,長期隱身於機房內,卻提供著企業組織重要營運,他所連結的儲存裝置(HDD, Storage, NAS)是營運與機敏性資料保存所在。而伺服器的安全又因企業或組織體系規模,呈現出很不一樣的管理態樣。
大致可區分以下幾個服務營運模式:
- 伺服器主要維運工作者在企業與法人是IT與MIS。
- 透過第三方委外單位運營,例如:政府單位委外運營商或委外SOC。
- 政府交付共構機房由共構機房得標運營商管理,負責防火牆及資安維運,但是主機核心管控權仍在單位與組織。
- 在政府一二級單位以及部分企業資訊系統開發多採標案外包予軟體開方商,來運營的主機與系統服務,相關主機管理可由單位資訊人員管控外,部分也會授權軟體開發商進行運營。
了解了主機運行模式,才能有效且安全的管控主機,換言之,主機安全不僅僅是主機所提供的對內外服務的應用系統、防火牆或是WAF…等安全設計機制,其實亦包含所存放的敏感資料。更進一步分析,如果主機就是一個端點,透過網路串接起相關的服務,而所使用及操作的對象,又是另一個關注的安全設計,這裡使用者不僅僅包含:一般網際網路或授權對象的使用者,更應該納入管控主機運營及資料安全的相關人員。這裡將從人(Users)類型或角色,尤其在Zero Trust角度來看,運營架構下內控安全管理相關面向。
伺服器內外部風險在哪?
多數IT論壇或群組,對伺服器端安全多半聚焦在外部對伺服器的攻擊滲透與資料竊取。從實務面與IT或是MIS對話中,可發現,其實還許多資訊安全面向,被忽略了。以下舉幾個例子與大家分享:
- 在資訊系統開發委外作業上,都是假設在「第三方委外開發外包商」是安全的前提下來設計的。這也是為什麼前些日子傳出有多家委外軟體開發商被國家級駭客惡意滲透的事件。缺乏對主機操作安全控管,更是高風險所在。我們換個方向到內部資訊系統來看風險,其實許多內部Web based資訊系統都存在Web Service老舊或是使用API漏洞難以修補,甚至 HTTPS都沒建立的窘境。更進一步以第三方軟體開發商的人員管控來看,承辦人無法隨時隨地看的第三方外包商的操作,換言之:資料庫有沒有被複製寫出到外接硬碟都無從得知,更無法了解相關資料庫散佈在哪? 這都疏於委外軟體開發商管理上,所呈現內部風險。
- 把焦點再放到內部IT與MIS人員管控上,機房的進出與主機的登入,以及主機虛擬化的設計,讓遠距操作管理成為重要的日常作業,這些可以成為主機相關事件記錄進行稽核分析,掌握相關人員的登入狀態。曾在過往查核經驗中發現,IT人員利用職務之便,在主機硬碟上畫出自己專用私密儲存空間,存放著電影音樂...等無版權的資料。而在稽核管控上,很難把關找出這樣的行為,更遑論把公司或組織的重要資料攜出的問題。
上述兩個案例,只是主機安全與管控的冰山一角,高階管理者很難全盤掌握實際的狀態。這樣的管控,不僅僅是單純硬碟空間使用率90%的風險通知,更需要著眼在人的安全管理。所以我們要去思考有沒有更好的方式,來進行管控稽核,讓主機運作服務上,不論內部或外部都達到更安全的設計,這是一個重要里程碑。
有哪些主機安全管理面相可以建置設計?
大致可以列舉出七大安全管控要素,在討論這七大要素前,必須要建立主機運營服務基本底線:
- 伺服器對外對內服務資訊系統,任何侵入式安全管控,絕對不能影響服務效能太多,簡言之,就是安全性與可用性要有一個平衡。好的監控產品必須進行相關壓力測試的佐證,讓運營主管人員信服。而此類機制自身安全要有相當的技術防護能量;
- 不論是SOC維運、軟體外包商、主機安全管控,要搭配嚴謹的操作流程,在授權下才能重啟伺服器或斷網;甚至搭建緊急處置對策,讓資訊人員能夠快速應變處理。
- 這類安全管控機制,以解決資訊人員(IT, MIS或資訊外包)燃眉之急,平日為資訊人員訓練好快速查核風險,降低資訊人員繁雜工作量為核心價值,作為此類安全機制建置前提。
對於伺服器七大項安全目標,包含:
- 外包(第三方)人員安全控管:(WHO) 管控使用USB儲存裝置? (HOW)透過伺服器主機網路服務將資料傳遞到Internet…等。
- Ransom與惡意程序阻攔控管:可依伺服器類型,對檔案進行必要的保護設計。
- 系統穩定與效能監視:如CPU 90%以上高使用率的狀態與天數,或硬碟使用用率達到90%以上的風險通知…等,是常見系統效能監視。
- 資料庫與檔案服務安全與效能監視控管:Database與檔案伺服器是企業組織重要資料的存放地點,進行相關安全防護可以降低資料外洩的威脅。
- Web Based服務安全與效能監視控管:Web Based系統佔企業或組織大宗,所面臨的威脅不限外部駭客攻擊,還包含內部的惡意竊取。
- 能夠以預防角度設計,自訂或目前訊息曝光度最高內外部惡意行為控管設計。進而搭配EDR快速警示或是阻止風險。
- 伺服器產出內外部稽核所需要,能夠快速產出各類稽核所需的分析報告。