雲端應用服務的全方位資料安全保護 智慧應用 影音
蔡司
參數科技

雲端應用服務的全方位資料安全保護

  • 楊迺仁

中飛科技技術支援部協理 張偉翰。
中飛科技技術支援部協理 張偉翰。

隨著雲端運算應用服務日益普及,舉凡政府機關的防救災、便民、財稅及警政服務,或是大型及中小企業的各式資料庫管理,加上數位家庭、智慧醫療、智慧交通、智慧校園及行動商務等應用,對雲端資料中心的依賴度愈來愈高。中飛科技技術支援部協理張偉翰指出,雲端資料中心雖具備超大規模、無限延展及彈性使用的特性,讓雲端應用服務的發展充滿未來性,但雲端運算應用情境的安全問題,更需要我們關注。

結構化資料必須特別保護

張偉翰表示,資料可以分為結構化及非結構化兩種,雲端資料中心存放的資料,多半屬於結構化資料,由於結構化資料往往是許多資訊如非結構化資料的源頭,因此需要特別保護。至於非結構化資料如業務文件、程式原始碼、財務資料等,多半存放在企業本身的檔案伺服器中,由於存放位置零散,且頂多是用目錄控管,也因此雲端資料中心的管理思維,其實與檔案伺服器的管理思維,有很大的不同。

一般而言,雲端資料中心的資安漏洞,包括管理者本身、資料存取的過程、開放平台的其他使用者本身。為了確保雲端資料中心的資料安全,張偉翰認為,完整的雲端資料中心資安解決方案,包括網頁應用程式、檔案及資料庫,都必須做好安全防禦。

網頁應用程式要避免外部攻擊

以網頁應用程式為例,由於可以直接存取資料庫,也因此成為外來攻擊的主要管道。張偉翰建議,雲端資料中心可以透過網頁動態建模技術,保護可能受到攻擊的應用程式,同時要建立完整的負面列表,包括伺服器平台入侵防禦、網頁及網站服務攻擊、零時差蠕蟲攻擊等,並設下多層次防禦,正確的阻斷攻擊,因為很多看似攻擊的行為,有時候其實是合法的,所以雲端資料中心一定要制定一系列的規則,才能避免誤判。

此外,網頁應用程式在開發時,最好能與弱點偵測軟體配合,管理者可依據排程修正及測試系統弱點,並可減少緊急修改修正應用程式的週期,還可監視嘗試突破已知弱點的攻擊,確保應用程式的安全及運作效率。

檔案保護要注意使用者權限管理

至於檔案保護,張偉翰認為,最主要的管理關鍵,在於資料源頭的控管,確保業務上需要存取的人,才能碰觸資料。要考慮的因素很多,包括誰擁有這個檔案?誰在使用或使用過這個檔案?誰有使用權限?什麼時候需要阻擋使用者的存取?使用權限是否開太大?檔案需要備份還是刪除等。

張偉翰指出,檔案保護技術必須具備完整的檔案稽核機制,才能有清晰廣泛的可視性,掌握所有的資料夾及檔案,但又不會影響檔案系統效能,也不需要更改應用程式、伺服器及使用者習慣。

檔案保護機制還應該能夠自動化的記錄各種使用行為,並提供詳細的分析統計資訊,並能即時套用安全政策,同時能夠找出敏感資料位置,進行分類,配合安全政策,才能對應到與營運政策相關的檔案安全。

資料庫的安全稽核要獨立

至於資料庫的稽核與安全,包含評估、設定政策/控制、監控與執行,以及統計及報表分析,關鍵在於要讓稽核獨立,做好未授權的管理者使用行為控管。如自動學習資料庫使用者及應用程式存取資料庫的行為模式,包括使用者、來源IP、host、OS User、來源應用程式等資訊,建立資料庫存取白名單,作為自動評估、稽核及保護的基準。

張偉翰強調,全球被發現、報告的新安全威脅不斷增加,管理者一定要時時注意真實世界的網路流量,並執行滲透測試,找尋未被發現、公布的弱點,並持續追蹤匯入攻擊來源,同時不斷檢測用戶端,才能持續提供最新的保護,也才能讓雲端資料中心的資料安全,做到全方位的保護。