保護您的網路:雲端如何改變您的資訊安全

 

趨勢科技這次榮幸贊助 2015 年加拿大 FIFA 女子世界盃足球賽。您或許會說:「很好啊!但足球和網路安全有什麼關係?」嗯,那您要怎樣才能在足球場上獲勝?沒錯,要踢進最多球,但除此之外,您還需要堅強的防守。這就是為何接下來的幾個禮拜我們將在部落格上探討您如何「保護您的網路」(包括您的資料、應用程式以及雲端部署),並且防範所有試圖入侵您企業的威脅和漏洞攻擊。

在「保護您的網路」這一系列文章當中,我們將討論軟體定義資料中心和雲端所帶來的機會和挑戰,以及我們如何協助您企業建構一套有效的防禦。這問題您不妨從這個角度切入:不論您的企業規模多大,網路安全就像足球賽一樣,良好的防禦才是您獲勝的基礎。這句話套在雲端和虛擬化環境,真是再貼切不過了。 Continue reading “保護您的網路:雲端如何改變您的資訊安全”

大型企業開始使用 Amazon 網路服務該知道的三件事

作者:Dave Asprey(趨勢科技雲端安全副總)

在過去的15年裡,我替發明資料中心代管模式的公司撰寫了第一份的服務層級協議(SLA),而且我帶領兩家使用傳統企業許可條款的公開上市IT軟體和硬體公司遷移到基於用量的定價模式。過去的經驗讓我非常瞭解大型企業如何看待IT採購,以及雲端服務供應商如何看待服務提供。

Cloud5

很遺憾,這是一個沒有太多重疊部位的范氏圖。當大型企業考慮遷移到Amazon網路服務(Amazon Web Services~AWS),這裡有三件你需要記住的事情。

1.    你的法務部門不會得到所想要的東西。

在雲端運算初期,服務層級協議曾經是可以討價還價的東西。雲端服務供應商重複提供完全相同的服務才能夠獲利,提供每個客戶不同的服務層級是無法重複或擴展的模式。

因為服務層級協議在大型IT的外包合約裡一直是可以商量,大多數大型企業的法務部門認為有空間來和AWS制訂和協商SLA。但其實並不行,這種要求只會減緩你的AWS部署,除了挫折感外並無法得到任何結果。

與其只是碰釘子,不如去研究AWS所提供的額外支援服務。這些可以解決許多相同的問題,不過在標準套件中可能只需要一個點擊。

2.    你的採購部門不會幫上忙。

在大型企業中,採購部門通常會加入探判。這在大型企業裡運作得很好,因為探判專家往往比IT主管來得專業。除非是跟牆壁對談,在這種情況下,採購部門的談判專家只會拖慢專案的進行。

AWS的價格透明公開且標準化。有傳聞堅持某些非常大的公司成功地協商出好價格,但我相信這些都只出現在AWS的最早期階段,在今日並沒有出現在很多公司…如果真的有的話。即使你喜歡AWS產品,你的採購部門可能會拉住你,要你考慮別的產品,這樣談判專家才有事情可做。

只是要記住,AWS有定期更新定價的習慣,而且當它更新時,通常會朝向一個方向…往下!事實上,自2006年以來,AWS已經出現過38次的降價…當你考慮其他產品時,要記得這一點。

3.    你的財務長會窒息。

大型企業的ERP和財務系統通常假設你會購買伺服器並在資料中心的某處租用空間。這些要不是資本支出就是每月固定的長期運作成本。可預測的數字對財務主管來說比較令人放鬆。

不可預知且基於用量的定價模式往往打破了靜態的業務流程,讓財務主管緊張的咬指甲。不幸的是,雲端服務供應商在這裡幫不上忙。企業會越來越習慣不可預期且基於用量的定價會佔IT預算裡越來越高的比例。

記得要有耐心的與你的財務團隊合作。遷移到雲端環境是種對IT的調整,它會讓財務方式完全改變。同心協力最終可以提供給大家一個更好的工作環境…並且讓挫折感降到最低。

 

@原文出處:Three things large enterprises should know about getting started with Amazon Web Services

我在 AWS Re:Invent大會上最喜歡的五場演講

作者:Mark Nunnikhoven(趨勢科技首席工程師)

所有的影片都已經上傳到YouTube,有一大堆精彩的內容等著你去看。也正因為這樣,想看完全部幾乎是不可能的任務。

Cloud

但別怕,我在這些講座裡潛水了好一段時間,選出了我最喜歡的幾段。下面是我心目中的前五名,加上我覺得你會感興趣的原因:

1.    由一到多:進化的VPC設計

VPC是個很大的題目。有許多種可能的設定。看看來自AWS的Robert Alexander介紹幾個真實環境的設計,從簡單到非常複雜都包含在內。這場講座是400等級(ARC401),可以預期有相當高的技術程度。

通過VPC服務來了解可用選項是成功部署的關鍵。學習到有哪些可能性,以及更重要的,現實世界裡有什麼可以幫你成功的跳到雲端部署。

最起碼要看完簡報資料。不過幫自己一個忙,花一個小時的時間來看看這段影片

2.    利用Chef部署「英雄聯盟」資料流

這場架構主題區內的講座(ARC205)介紹Riot Games如何利用Chef來打造它們遊戲「英雄聯盟(LOL)」背後的資料流。裡面詳實的討論了他們為了達到目標而所做的一些決定。

觀看影片或閱讀簡報資料

3.    介紹Amazon Kinesis:即時串流處理

這場30分鐘的談話很好的介紹了Amazon Kinesis背後的概念和動力。這是場平易近人的講座(因此是100等級,BDT103)。

還有更多關於Amazon Kinesis的談話,但如果你想知道它到底是什麼,先從這影片簡報資料開始。

順帶一提,我已經將Amazon Kinesis放在我的新手演出裡。Amazon Workspaces很棒(很快更多相關介紹),還有Amazon AppStream也是。兩者大幅超前同領域裡原本的解決方案,但是Amazon Kinesis將這類型的處理方式帶給全新的對象。

4.    掌握存取控制政策

通常沒有比要求花一個小時來觀看一場關於存取控制政策談話更快讓人睡著的方法了。但是Jeff Wierer在SEC302改變了這個狀況。這場關鍵的講座裡藉由清晰的談話提供了大量的資訊。

到處都是重點,可以說這份簡報資料裡藏著許多寶藏等待發掘。如果你正利用AWS做些什麼,花點時間看看Jeff的談話。

5.    搬遷企業應用程式到AWS:最佳實踐與技巧

在這300級(ENT303)的講座裡,來自AWS的Abdul Sathar Sait和Tom Laszewski詳細介紹了將傳統企業應用程式部署到AWS雲端環境所會面臨的挑戰。

這裡面包含了許多很棒的資料,不僅可以幫你瞭解該如何做,還有為什麼。你應該要來看看將「典型」企業工作負載搬遷到AWS上。

這場講座影片有一個小時,你也可以自行參考簡報資料Continue reading “我在 AWS Re:Invent大會上最喜歡的五場演講”

趨勢科技展示全方位的 Amazon Web Services 安全防護方案

簡化雲端安全防護的創新產品,符合 AWS 共同安全模型

【2013 年 11 月 19 日台北訊】在今年 AWS re:Invent 2013 大會上,趨勢科技 (東京證券交易所股票代碼:4704) 展出一套全方位、自動化且專為 Amazon Web Services (AWS)  部署環境設計的安全防護方案,包含多項重要防護功能:惡意程式防護、防火牆、入侵防護、加密以及應用程式掃瞄。這套最佳化的解決方案能讓企業履行 AWS 共同安全模型當中的義務,維護企業應用程式與資料的安全。此外,其獨特的授權模式也能配合企業採購 AWS 運算實體 (AWS Instance) 的方式,徹底改變雲端服務安全防護的購買方式。

這套榮獲第一名評價[1] 的雲端安全防護是以趨勢科技的 Deep Security 平台為基礎,能保護雲端運算實體、網站應用程式以及敏感的企業資料。有別於針對單一功能 (如惡意程式防護) 的傳統解決方案,Deep Security 平台擁有全方位的能力,可根據每一位客戶的需求而輕鬆部署。趨勢科技不僅是 AWS 高級技術合作夥伴 (Advanced Technology Partner),更是唯一參加全新 AWS 試用計劃 (Test Drive Program) 的資訊安全廠商,能讓客戶在幾分鐘之內為其部署環境評估各種安全防護功能,而且免費。

Vayon Insurance Solution Provider 的雲端專案經理 Renato Giuliana 表示:「由於我們某家大客戶的要求,我們必須在很短的時間之內完成 PCI-DSS 認證。我們選擇了趨勢科技 SecureCloud™ 服務和 Deep Security 方案,因為有了這些解決方案,我們就能以模組化且完全整合的方式達成各項 PCI-DSS 規範。除此之外,該還有專案建置迅速以及價格容易負擔的特點。」

AWS 的共同安全模型針對部署環境制定了清楚的安全責任歸屬。AWS 負責維護基礎架構的安全,而作業系統 (含) 以上部分的防護責任,則由使用者承擔。趨勢科技解決方案提供了各種功能來確保 AWS 部署環境的安全,包括:

 作業系統

不論採用服務方式或採用企業內部署,Deep Security 都能守護實體與虛擬伺服器以及公有和私有雲端部署環境。它可配合 AWS 的伸縮性和彈性,完整支援主流作業系統,並且針對動作導向描述資料 (Action-based Metadata) 自動化擴充而最佳化。

 網站應用程式

應用程式漏洞掃瞄與專家誤判消除,還有網站信譽評等管理,能為任何網站應用程式提供全面的應用程式安全檢視。

 資料

精密的加密與金鑰管理功能,專為 AWS 最佳化,可在私有雲和公有雲部署環境之間平順地維護資料安全。此外,趨勢科技還利用無限制的 SSL 憑證為傳輸中的資料保護提供了突破性的作法,讓客戶不必花費額外成本就能部署適當的防護。

 定價

趨勢科技是唯一能讓企業配合其 AWS 雲端服務採購方式來採購防護方案的資訊安全廠商。企業有兩種採購防護的方式:(1) 預先採購,如同採購預留的運算實體一樣;(2) 用多少算多少,如同隨選運算實體一樣,此方式只針對實際使用部分計費,對於企業IT營運規劃更具彈性。本服務預計於2014年第二季在亞太區正式推出 。

Nunnikhoven 表示:「我們很高興能成為 AWS 商業夥伴的一分子,並且堅信趨勢科技的雲端安全防護方案是最棒的。我們的團隊創造了一套完整的方法來協助您達成您在 AWS 雲端的安全責任。我們在產品當中融入環境感知能力,讓您輕輕鬆鬆就能部署符合您企業需求的安全防護,讓防護更穩定,協助您將安全防護自動化,這樣您就能專注在自己的事業上。」

 

進一步了解:http://www.trendmicro.com/us/business/cloud-data/index.html


[1] Experton Group – 「2013 年雲端廠商評比」(Cloud Vendor Benchmark) 報告

Continue reading “趨勢科技展示全方位的 Amazon Web Services 安全防護方案”

五個要問資安廠商關於AWS的問題

作者:Justin Foster

過去幾週內,趨勢科技一直都在檢視如何防護運行在Amazon Web Services虛擬機器的十大建議。我們探討了AWS共享安全模型的關鍵控制。如同這些建議裡所提到的,基於主機的安全功能,像是入侵偵測和防禦、防毒、完整性監控等,對於保護你的應用程式和資料非常重要。

部分建議跟設定和調整AWS本身有關,有些需要使用第三方工具。所以在尋找防護你雲端計劃的候選時,有五個問題必須要問這些可能的廠商:

  1. 新建立的虛擬機器可以自動地被識別?雲端的好處之一,也是它最大的問題之一:彈性。通常虛擬機器會被自動建立,比方說為了回應增加的負載。如果這些自動產生的虛擬機器無法被自動保護,你就會產生漏洞。
  2. 你的政策(Policy)可以和AWS溝通嗎?所有的虛擬機器並不完全一樣,而安全政策可能會因為虛擬機器的類型和用途而非常不同(例如資料庫與網頁伺服器)。政策引擎需要了解AWS提供的資訊,並且依此採用適當的政策。
  3. 我需要改變我的部署程序嗎?今日有各種商業版和開源版部署工具用於管理AWS部署(RightScaleChefPuppetCloudFormation,這裡只提幾個)。需要改變這些流程以適應安全解決方案代表了時間、費用以及部署過程中出差錯的可能性增加。

Continue reading “五個要問資安廠商關於AWS的問題”

十大AWS安全秘訣:第八條 加密敏感資料

作者:Mark Nunnikhoven

今天我們要討論有關加密的部分。

資料推動你的業務

你的業務是基於資料和資訊而運作的。前進公共雲最大的擔憂之一就是資料的安全性。只要做點盡職調查(due diligence),你可以讓這些擔憂消失不見。

有三個關鍵步驟可以保護你在雲端中的資料:

  1. 識別和分類你的資料
  2. 保護存放中的資料
  3. 保護移動中的資料

識別和分類

在你確認自己有哪些資料,哪些對自己和客戶有價值,它們在哪裡儲存和處理之前,你沒有辦法採取有效的措施來保護你的資料。

檢查你的網路,你儲存了什麼類型的客戶資料?哪些是讓你具備競爭優勢的知識產權?還有可存取系統的身份憑證?

開始清查你的資料。

現在開始進行盤點,試著去找出資料的優先順序。它對你的客戶有多重要?對你的業務運作?你的聲譽?你不需要找出資料的準確價值,只要有什麼對你的業務是重要的粗略想法。

一旦你有了這份清單,查出在哪裡如何的儲存這些資料,在哪裡進行處理。這些是你首要專注安全性的地方。

Continue reading “十大AWS安全秘訣:第八條 加密敏感資料”

十大AWS安全秘訣:第九條 進行弱點評估

作者:Justin Foster

在這系列裡,Mark和我已經討論過如何去強化你的AWS資源(涵蓋虛擬機器的內外部)以及進行同步監測。最後兩個秘訣是有關如何評估你的整體安全性,讓你可以了解你的風險等級和衡量進度。

這或許是老生常談,卻再真實也不過…你不能管理無法衡量的事物。你可能設有層層防禦,但除非你進行過弱點評估,你永遠不知道真實狀況如何。

評估你的基礎設施即服務(IaaS)

 

進行弱點評估,會對你系統內所有區域的弱點進行確認和排定優先順序。你會先透過工具、服務和手動評估等混合方式來對弱點進行分類。接下來要排定弱點的優先順序,以及評估消除方法。

工具和服務往往有兩種形式,網路或基於本機的掃描。而這兩種形式都有主動或被動式的掃瞄器。有些弱點只能在虛擬機器上或特殊權限網路上被偵測到。

如果你正要對你的AWS虛擬機器進行網路掃描,你需要填寫AWS弱點/滲透測試申請表。這樣AWS才知道你將要進行掃描,而不會中斷你的連線。

Continue reading “十大AWS安全秘訣:第九條 進行弱點評估”

十大AWS安全秘訣:第四條,保護客戶端作業系統

作者:Mark Nunnikhoven

我們大約地討論了有關開發AMI的問題。現在我們要來看看如何保護運行在EC2和VPC虛擬機器上的客戶端作業系統。

AWS的建議

AWS已經發表了不少關於他們服務的文件。AWS安全最佳實作[PDF]和AWS風險與法規遵循[PDF]更是其中非常棒的安全資源。在最佳實作這份文件中,「防護你的應用程式」章節(第4頁)底下,他們提出了一些建議,歸納為以下幾點:

  • 盡快安裝修補程式
  • 對於作業系統和服務要使用建議的安全設定
  • 測試,測試,再測試

這真是非常正確而有效的建議,讓我們來看看這些建議實際應用時會面臨的問題。

儘快安裝修補程式

這是IT經常會聽到的一句話。我們都知道需要更新修補程式,但這過程相當痛苦,通常這痛苦會跟測試有關。當你的應用程式放在雲端環境,你不用那麼經常去對運作中的系統更新修補程式,因為基礎AMI可以讓這事情變得更加容易些。

你可以在測試環境中部署基於你基礎AMI的虛擬機器,安裝修補程式,接著再執行所有所需的測試。如果修補程式不會影響到你的設定,就建立更新過的基礎AMI。下一步就是排定時間將新的AMI部署到作業環境上。取決於你的應用程式,甚至可能和之前的版本並行運作一段時間以消除停機時間。

使用建議的安全設定

大多數作業系統和服務都會有建議設定。仔細閱讀它們!也可以到有信譽的資料來源研究所建議的設定。整理這些建議設定,接著根據你的需求來完成設定。請記住最小權限原則,只在有絕對需要時才開啟服務或功能。

Continue reading “十大AWS安全秘訣:第四條,保護客戶端作業系統”

十大AWS安全祕訣:第二條,密碼策略和多因子身分認證

作者:Mark Nunnikhoven

在介紹如何利用AWS身份和存取管理來保護資源的文章裡,Justin介紹了AWS身份存取管理(IAM)的基本知識。今天我們要來看看如何使用IAM來設定密碼策略和多因子身分認證。

密碼策略(Password Policies)

使用強密碼的重要性是眾所周知的。大多數組織都已經有了密碼策略。這種策略通常會定義複雜度(像是包含多少個數字、特殊字元和密碼長度等),以及變更週期(像是每九十天就必須變更密碼)。

有些策略會更進一步,對於不同的設備或角色有不同的要求。CSIS的前廿項控制裡的第12項 – 「控制管理權限的使用」裡介紹了密碼策略的強化。就是要確保具有管理存取權限的人使用複雜密碼,並且必須一年變更好幾次。

IAM目前提供了一連串的設定來強制執行密碼策略。你可以為你的AWS帳號設定密碼策略。這策略可以讓你定義密碼的複雜度,但並不能設定變更週期。

現在就開始使用密碼策略是很棒,但你需要手動要求使用者定期變更密碼,或是採取別的方法加強……或是雙管齊下!

多因子身份認證

AWS的多因子身份認證(MFA)正是我們用來加強密碼策略的方法。

那麼,到底什麼是MFA?就是使用一個以上的認證因子來驗證誰是使用者。有三個常見因子:你知道什麼東西(something you know)、你擁有什麼東西(something you have)和你的生物特徵(something you are)。

 

我們的使用者已經具備了一個因子,就是密碼(使用者知道的東西)。對於AWS,第二個因子是使用者擁有的東西。可能是硬體認證裝置(可向AWS購買)或用軟體認證裝置,安裝在智慧型手機或其他設備上。

這些認證裝置會顯示隨機生成的數字,必須在使用者輸入自己的帳號和密碼登錄AWS管理控制台時輸入。這數字每隔幾秒鐘就會變化一次,以確保使用者在登錄時有認證裝置在身上。

現在想要認證成功,就必須輸入正確的帳號密碼,加上由正確認證裝置在使用者登錄當下所產生的數字。

Continue reading “十大AWS安全祕訣:第二條,密碼策略和多因子身分認證”

< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源

在接下來的幾個星期,我們將會探討如何防護AWS(亞馬遜網路服務)環境的最佳做法。在我們深入到防護你的虛擬機器、應用程式和資料之前,讓我們從最頂端開始。

作為AWS共享責任安全模型的一部分,AWS消費者防護好自己的服務可以發揮重要的作用。早在二〇一二年十一月的AWS re:invent大會上,Max Ramsay就將AWS與CSIS廿個關鍵安全控制對應,作為進一步了解AWS和客戶端(你)之間共同責任的框架。關鍵控制的第十二項是控制管理權限使用,負起保護責任是身為AWS用戶的你所必須加以正視的。在接下來的幾個星期,我們會聚焦在你所需要負起責任的關鍵控制。

在虛擬化或雲端世界,管理權限就好比是作業系統上的管理者帳號。不過,現在你有更多組強大的身份需要管理,好存取AWS控制台和API。

收起你的AWS管理者(root)帳號,利用IAM(身份存取管理)來啟動存取權限

當你開始使用AWS,你會獲得一組帳號和密碼。這個帳號擁有存取你所有AWS資源和帳務資訊的權限。不要跟任何人分享!我知道有某個經理跟他的團隊共享帳號,他們很快就發現可以用經理的信用卡在Amazon.com上買東西!

確認該帳號安全後,接著進到控制台上的IAM 選項,開始定義群組和使用者。

一般情況下,你會需要兩種類型的使用者:

  • 需要帳號密碼存取AWS控制台的人
  • 使用存取密鑰帳號(Access Key Id)和秘密存取金鑰(Secret Access Key)來存取API的程式

在這兩種情況中,你會想透過群組來分配所需的最低權限給使用者。AWS會幫你提供一些策略範本。例如,你可能會想提供操作人員「Power User Access」權限,而給開發人員「EC2 Full Access」權限。 Continue reading “< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源”