全面資安防護思維 建構穩固混合雲
回顧以往,企業只要將基礎架構、應用環境建設妥當,再搭配適當的管控作為,即不難維持各項服務的暢行無阻;但這個沿襲已久的運作模式,如今進入雲端世代,是否持續適用?
Palo Alto技術經理藍博彥指出,以往企業針對不同目的部署之資安產品或行為管控設備,確實較易收到效果,但如今隨著雲端應用到位,整個局勢已經大變。因為員工可以更自由開心地使用大量服務,對於提升生產力固然有益,但也意外開啟新型態攻擊或惡意程式的傳遞管道,且現今駭客不執著求名而求利,目的就是要偷取資料,也愈來愈懂得規避企業現有管理機制與防護措施;如果企業未能洞察形勢轉變,依舊迷信傳統如Port-based等控管模式,恐無法善盡機敏資料保護之責。
唯今之計,企業意欲明哲保身,必須先建立有效的分析與識別機制,深切了解網路內何人在做何事、做的事情有無危害,掌握這些行為動向,才能有效判斷其風險,再以相對應機制進行有效管控。
藍博彥表示,論及雲端安全,有三個檢視重點,分別是流量內夾雜了什麼東西?誰在使用?傳輸的資料有無威脅?只因現今雲端崛起,已完全打破網路界線,尤其隨著IPv6的導入,管理者已無法單純倚靠IP辨認使用者身分,更難以判斷此IP是否值得信任,從而更加凸顯使用者識別之重要性。
因此在資安事件管理分析上,企業必須有能力追查稽核網路上究竟跑些什麼東西,然後從行為角度研判,哪些人或哪些部門可用什麼、不可用什麼,再進一步深究連線通道帶來的資訊或檔案內容,以判斷哪些流量必須予以攔阻,先行接受更深層的資安檢測。
尤其以私有雲環境而論,大家都可能使用相同的雲端服務或主機,上面跑的VM Instance,存取管道或目的地也如出一轍,但即使如此,仍需對背後使用者的身分、權限、資料傳輸內容詳加查核與控管。
回過頭來看,企業可能早在導入雲端前,就已部署多項資安或管控產品,不論是獨立防護系統或整合式的UTM,如今是否符合需求?恐怕都有盲點存在。例如單一產品,若非費心倚賴SIEM或人工查核,否則彼此事件記錄難以進行關聯,至於UTM,其實骨子裡也是多套系統的堆疊,情況未必好到哪裡去,且一旦功能全開,防護性能便瞬間滑落。
而在公有雲方面,企業承租IDC空間,原本只想到在前端設下保護機制,現已警覺到需於虛擬機器內直接進行人員、服務、病毒等第7層檢查。但其實光做到這裡,顯然還是不足的,因為虛擬機器有任何新增、異動或刪除,目前大致能與交換器或路由器等網路設備連動,但資安系統卻往往是狀況外,不會立即知曉這些變化,除非用戶僱用專門人力24小時緊盯變動、隨即做出調整,但可行性甚低;因此如何藉由自動化機制,補齊虛擬環境、網路、安全之間的訊息落差,立即調整政策,實為重大課題。
企業將服務放入雲端,到底安不安全?藍博彥認為,與其人云亦云,不如相信自己,平心看待新型攻擊模式的變化,理應不難發覺到,現今散播惡意程式的主要管道,已成為Client端應用程式,因為駭客通常會在Client連結到網際網路的過程中,尋求突破點,甚至根據特定對象量身訂製攻擊程式;如果以過去用以保護伺服器的IPS為例,搭配靜態特徵碼分析技術,面對這般頑強的攻擊手法(例如APT),可說無計可施。
面對客製化成分愈來愈高的惡意攻擊,企業如何是好?藍博彥認為,與其枯等外界研製疫苗,不如化被動為主動,運用動態的沙箱分析技術,冷眼綜觀一切網路使用行為,譬如聆聽你與哪些IP連線,對內對外又傳遞了哪些資料,其實就可揪出可疑檔案,經過分析確認後,在1小時內產出特徵或規則,再透過自動化機制,傳達到相對應資安設備,藉以避免人工介入處理產生時差。
總括而論,面對以雲端為基礎的服務,企業理應建立新的資安防護思維,要清楚知道哪些服務正在何處運行,哪些檔案該接受進一步檢查,欲達此目的,有賴使用者識別能力的展現,把人、行為、內容等元素通通串起,再佐以動態分析、及相對應的資安設備,即可規避諸多風險。
欲求有效管控人、行為與內容,必須利用精簡的實施規則,切忌切換過多畫面,且於完成分析後,亦得以簡單頁面進行事件關聯,以期快速掌握異常形跡;藍博彥強調,資安防護才是目的,至於實施過程,不僅應在部署上力求彈性,也無須耗時做資料整理,因此企業在評選雲端防護系統時,務必將此列為評量重點。