讓我們再來談談 Gartner 研究報告中所提如何保障 Amazon Web Services 雲端工作負載安全的最佳實務原則。事實上在這方面,時機是最重要的關鍵。
讓我們回想一下 2014 年 4 月 1 日,也就是 Heartbleed心淌血漏洞漏洞揭露的那天。此漏洞可讓駭客利用 OpenSSL 程式庫當中的 SSL 協議 (handshake) 漏洞,直接從電腦記憶體中擷取敏感的資訊。而且全球有千千萬萬個應用程式都採用 OpenSSL 程式庫!
您該怎麼辦?
首先,您必須知道自己是否受到影響。不論網路式或主機式漏洞掃瞄都能協助您發掘受影響的工作負載。接下來呢?接下來我們與 Gartner 專家的看法一致,但卻會違背大多數企業現行的做法,那就是:別修補。沒錯!不要修補營運中的系統!
我們的意思並非不要修補漏洞、讓伺服器一直暴露在危險當中,而是:別在營運系統上套用可能造成營運中斷的修補程式。
您該做的是,將修補程式套用在測試環境當中,在部署前先完成徹底的測試。我們在上次的秘訣中提到資安防護應該是一開始就考慮到的問題,也談到您該如何利用動態或靜態方式打造新的伺服器。以這樣的作業流程為基礎,再加上測試能力,您就能盡量降低系統修補造成營運中斷的機率。同樣地,關鍵就在於自動化,因為這樣才能確保您有一套可快速建立及測試新應用程式環境的作業流程。
那漏洞該怎麼辦?時間正一分一秒流逝…
此時就是虛擬修補派上用場的時候,利用一種軟體的入侵防護 (IPS) 機制 (例如 Deep Security),您可以找出有漏洞的運算實體 (instance),然後將漏洞堵起來。虛擬修補可讓您迅速安全地防止漏洞遭到攻擊,直接切斷資料外洩和系統入侵的路徑。
營運模式將徹底改觀,因為雲端伺服器是可隨時拋棄的,所以資料才是重點。因此,別再緊抱著伺服器不放,也別再依賴雙系統並行的備援機制來實現零停機時間的目標。
並非所有工作負載都適合這樣的方式,例如那些移轉至雲端的老舊應用程式。但在這種環境當中,您還是可以先套用虛擬修補來保護生產環境,然後在另外一個測試環境當中同步測試廠商提供的修補程式。不過,最終您還是要朝著伺服器可隨時拋棄的目標邁進,並以此為採購的基礎。
若您需要更多有關如何防範漏洞以及緊急因應和長期修補的更多資訊,可參考今年 AWS re:invent 會上 Mark Nunnikhoven 的演講。
想要進一步了解有關保護 AWS 工作負載的最佳實務原則嗎?請參閱 Gartner 研究報告有關保障 AWS 工作負載安全的最佳實務原則。
原文出處:Cloud Security: To patch or not to patch…|作者:Justin Foster
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載