中小企業採用軟體即服務(SaaS)的安全挑戰

隨著中小企業市場的發展及競爭的日益激烈,公司會尋求各種方法來降低成本並提高員工工作效率,創造嶄新且能夠持續的商業模式以免現有客戶群不被競爭對手所蠶食,並且又能帶來新的客戶。變動快速的市場迫使企業考慮雲端解決方案。

資訊安全 CISO 企業

軟體即服務(SaaS)對你的企業來說是個正確答案嗎?也許,但這裡有些你需要考慮的事情:

做好功課。這聽起來有點蠢。但我過去交談過許多合作夥伴都是先一頭栽進軟體即服務(SaaS)而沒有充分評估運作模式。底下是一些你需要回答的問題。

  • 你的客戶是誰?他們能夠接受雲端作業嗎?
  • 你目前的成本結構是什麼?
  • 你的競爭對手在做什麼?
  • 你的IT團隊工作滿載嗎?

Continue reading “中小企業採用軟體即服務(SaaS)的安全挑戰"

趨勢科技連續六年蟬聯全球伺服器防護市場龍頭寶座

IDC最新報告指出趨勢科技市占率已達30.3%,成長速度超越市場

 全球資安軟體及解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布再度榮獲產業分析機構 IDC 評選為全球伺服器防護市場領導廠商。趨勢科技已經第六年蟬聯全球伺服器防護市場龍頭;不僅伺服器防護市場規模在 2014 年已突破 8 億美元,在該市場的營收市占率達到 30.3%,雙雙超越市場與競爭對手的成長速度。

award 得獎

趨勢科技雲端及資料中心防護資深副總裁 Bill McGee 表示:「隨著虛擬化、雲端和混合式部署不斷帶動現代化安全防護的需求,IDC 預測伺服器防護市場的重要性將日益增加。我們在該市場的領導地位,充分展現了我們對該領域的專注,為滿足客戶在混合式雲端的需求,提供一套完整的安全控管,不僅透過集中管理與自動化減輕對營運環境的衝擊,並支援 VMware、Amazon Web Services 及 Microsoft Azure 等主流平台。」

趨勢科技領先市場的趨勢科技Deep Security平台能保護虛擬桌面、虛擬伺服器、雲端以及混合式架構,防範零時差惡意程式和其他威脅,同時能消除資源利用率不佳與緊急修補對營運所造成的衝擊。

IDC 防護產品與服務計劃副總裁 Chris Christiansen 指出:「今日企業在挑選防護解決方案時,在乎的是能解決其所有重要問題的完整防護功能。趨勢科技已連續六年蟬聯伺服器防護市場領導者,與如此值得信賴的伺服器防護領導廠商合作,絕對是明智的抉擇。」

趨勢科技Deep Security平台提供了軟體與服務兩種部署方式,客戶可選擇最適合其資料中心及雲端策略的採購方式。此外,在趨勢科技深耕雲端市場的努力下,趨勢科技Deep Security也在 AWS 和 Azure 市集上架,為客戶提供更多元的採購彈性。

MEDHOST 公司 IT 與託管式服務副總裁 Todd Forgie 表示:「幾乎所有資安廠商每天都必須面對敵人的強大火力,因此我們需要像趨勢科技這樣的合作夥伴來提供必要的反擊能力。趨勢科技能偵測其他解決方案無法偵測的疫情,這正是為何我們當初決定選擇趨勢科技為唯一資安廠商,而且我們從未遲疑。」 Continue reading “趨勢科技連續六年蟬聯全球伺服器防護市場龍頭寶座"

雲端安全:分割(Segmentation),隔離(Isolation)和認證(Accreditation)…我的天呀!

 

還在不久之前,設定邊界防火牆已經是最好的做法。要為伺服器做好分割區段實在太過複雜與高成本了。

但這一切都隨著軟體定義網路的出現及虛擬化技術和主機軟體的進步而改變。托托,我想我們已經不在堪薩斯了(註:綠野仙蹤內桃樂絲的台詞)!我們現在能夠實際地去應用Gartner報告內所討論到的分割(segmentation)和隔離(isolation)安全最佳實作。

 

從哪裡開始?

亞馬遜網路服務(AWS)提供強大而友善的方式來實施基本的網路ACL(存取控制列表)。ACL指的是控制哪些網路端口可以互相對談及跟外部網路連接。

AWS預設是全部禁止,意思是沒有端口會開啟,除非你有特別要求。理想上,你會開啟最低所需的端口,並且只開放給需要它們的資源。例如,你可以將網頁伺服器的端口80/443開放給所有網路,但你不該將它的RDP端口開放給外部網路…或是完全不要開放,如果可以的話。

就跟巫師一樣,AWS有個聰明的做法可以讓它變得更加容易。比方說我想保護一個有著網頁伺服器、應用伺服器和後端資料服務的三層架構應用程式:

 

AWS可以讓你定義安全群組,就如同給多個同類型虛擬機器的範本。為了讓它更加容易,讓規則集保持不大,你可以將安全群組連結在一起。例如,只允許從網頁伺服器層虛擬機器的443端口網路流量到應用程式層。聽起來很簡單,也的確是,但卻令人難以置信的強大。

如果再加上VPC(虛擬私有雲),你可以對各種架構運用豐富的分割(segmentation)和隔離(isolation)政策。AWS的架構中心有許多樣本可以幫助你去到翡翠城(註:綠野仙蹤內桃樂絲的目的地)。

 

這就夠了,對不對?

並不盡然。正如我們在之前的文章討論過,只進行分割和只開放所需端口通常是不夠的。像Shellshock、Heartbleed和其他威脅都發生在這些合法端口上。為了讓這些飛天猴(註:綠野仙蹤內的怪物軍團)遠離你的虛擬機器,你必須深入這些網路封包資料。入侵防禦系統(IPS)軟體可以確保進出你虛擬機器的網路流量沒有惡意企圖。 Continue reading “雲端安全:分割(Segmentation),隔離(Isolation)和認證(Accreditation)…我的天呀!"

雲端防護:到底該不該修補…

讓我們再來談談 Gartner 研究報告中所提如何保障 Amazon Web Services 雲端工作負載安全的最佳實務原則。事實上在這方面,時機是最重要的關鍵。

讓我們回想一下 2014 年 4 月 1 日,也就是 Heartbleed心淌血漏洞漏洞揭露的那天。此漏洞可讓駭客利用 OpenSSL 程式庫當中的 SSL 協議 (handshake) 漏洞,直接從電腦記憶體中擷取敏感的資訊。而且全球有千千萬萬個應用程式都採用 OpenSSL 程式庫!

您該怎麼辦?

首先,您必須知道自己是否受到影響。不論網路式或主機式漏洞掃瞄都能協助您發掘受影響的工作負載。接下來呢?接下來我們與 Gartner 專家的看法一致,但卻會違背大多數企業現行的做法,那就是:別修補。沒錯!不要修補營運中的系統!

我們的意思並非不要修補漏洞、讓伺服器一直暴露在危險當中,而是:別在營運系統上套用可能造成營運中斷的修補程式。

您該做的是,將修補程式套用在測試環境當中,在部署前先完成徹底的測試。我們在上次的秘訣中提到資安防護應該是一開始就考慮到的問題,也談到您該如何利用動態或靜態方式打造新的伺服器。以這樣的作業流程為基礎,再加上測試能力,您就能盡量降低系統修補造成營運中斷的機率。同樣地,關鍵就在於自動化,因為這樣才能確保您有一套可快速建立及測試新應用程式環境的作業流程。

那漏洞該怎麼辦?時間正一分一秒流逝… Continue reading “雲端防護:到底該不該修補…"

成功的雲端運算管理必須建立穩固的防守

Cloud-shield 雲端

 

雲端運算正在改變全世界做IT的方式。有著降低成本、提高效率、更快開發應用程式並加以部署等吸引力,各地的使用者趨之若鶩的想轉移到這新的運算模式,不管有沒有得到IT的祝福。然而安全仍是首要的關注,因為會失去對實體基礎設施的控制。

想要平衡業務靈活性與安全風險同時又降低成本,這項挑戰並非容易的事。但它是雲端運算管理者想成功就得面對的事情。如同在足球賽事中,獲勝的策略必須建立在有穩固的防守上。

 

共享責任

為了要闡明雲端安全的挑戰,趨勢科技最近委託Forrester顧問公司訪談調查IT負責公共雲安全專案的專家。有70%的人認為公共雲是他們所提供給客戶的產品或服務的一部分。

而且毫不令人驚訝地,有四分之三(76%)的人對安全有疑慮。

在公共雲中,安全是共享責任。雲端服務供應商負責管理程序(包括資料中心和基礎設施),而客戶必須確保作業系統、應用程式、使用者和資料

安全。

Continue reading “成功的雲端運算管理必須建立穩固的防守"

保護您的網路:雲端如何改變您的資訊安全

 

趨勢科技這次榮幸贊助 2015 年加拿大 FIFA 女子世界盃足球賽。您或許會說:「很好啊!但足球和網路安全有什麼關係?」嗯,那您要怎樣才能在足球場上獲勝?沒錯,要踢進最多球,但除此之外,您還需要堅強的防守。這就是為何接下來的幾個禮拜我們將在部落格上探討您如何「保護您的網路」(包括您的資料、應用程式以及雲端部署),並且防範所有試圖入侵您企業的威脅和漏洞攻擊。

在「保護您的網路」這一系列文章當中,我們將討論軟體定義資料中心和雲端所帶來的機會和挑戰,以及我們如何協助您企業建構一套有效的防禦。這問題您不妨從這個角度切入:不論您的企業規模多大,網路安全就像足球賽一樣,良好的防禦才是您獲勝的基礎。這句話套在雲端和虛擬化環境,真是再貼切不過了。 Continue reading “保護您的網路:雲端如何改變您的資訊安全"

基礎設施即(安全)程式碼

 

 

在拉斯維加斯的Gartner資料中心、基礎設施與運作管理大會中,我演講了一個新的主題,叫做「基礎設施即(安全)程式碼」。這次演說談到讓大部份的基礎設施以另一種形式的程式碼來呈現的好處和挑戰。

這作法即便是在最保守的企業內也可以發揮。它會悄悄地融入你的運作和安全團隊,但這是個值得進行的趨勢。

基礎設施可以用程式碼表示帶來一些令人興奮的可能性。我們看到這作法被大量地運用在公共雲上,但它們也同樣適用於傳統資料中心(只要一點點的變化)。

你可以開始注意三個主要領域的變化:

  1. 程式碼本身
  2. 如何防護程式碼資料庫
  3. 你的安全控制如何改變以在程式碼內使用

Continue reading “基礎設施即(安全)程式碼"

雲端安全:共同責任進行中

雲端安全屬於共同責任,現在是個很好的時間點去進一步地探討這個想法,看看這個模型應用到真實環境內會如何。

Cloud5

這個模型

在我們深入探討之前,讓我們先確保彼此對於這個模型有著相同的理解。

這是個很簡單直接的模型。讓我們從安全需求無所不在這觀點開始,為了管理一次部署的安全性,我們將各種責任劃分成以下幾個領域:

  • 實體基礎架構
  • 網路基礎架構
  • 虛擬化層
  • 作業系統
  • 應用程式
  • 資料

下一步就是要確認誰該負責上述各領域的安全性:AWS(雲端服務供應商)或使用者 (使用雲端服務的人)。

根據服務的不同,「需要為該領域負責的人」也會有所不同。

這些領域的安全責任會隨著你所使用服務的類型而改變。

以使用EC2作為例子,AWS負責實體基礎架構、網路基礎結構和虛擬化層。這代表你需要負責作業系統、應用程式和資料方面的安全性。 Continue reading “雲端安全:共同責任進行中"

雲端安全

作者:Mark Nunnikhoven(趨勢科技首席工程師)

你正在向著雲端前進,但在到達應有的高度前會先撞上一道牆。這道牆就是你組織的安全要求。幸運的是,當你了解如何在雲端安全的運作,這道牆很容易突破。

模型

我們很幸運,因為任何雲端的安全模型都是一樣的。就是共享責任模型。

大體上說,這是個非常簡單的模型。你和你的雲端服務供應商共享你所部署一切的安全責任。

 

模型本身很簡單,但應用起來可以很細微。

簡單

簡單概括此模型:

在AWS的Mark Ryland關於共享責任模型的應用講座中,他透過一個矩陣來解釋這模型,說明該模型如何根據你所使用的雲端服務類型而變化。

我喜歡簡單一點的總結:「你越接近硬體,你的責任越多。」 –出自於我的最新發言。

 

責任區域

需要防護的區域通常屬於以下幾類:

  • 實體基礎設施
  • 網路基礎設施
  • 虛擬化層
  • 作業系統
  • 應用程式
  • 資料

而在現實世界中的應用,雲端服務供應商幾乎都會負責直到且包括虛擬化層的一切。 Continue reading “雲端安全"

運作效率:資料中心成功的關鍵

 

虛擬化是為了讓IT運作更有效率。期望可以讓IT功能和企業都變得更有彈性,好用更少的資源做更多的事情。今天,這市場已經成長到了數十億美元的規模。Gartner公司預測再過一兩年,到了2016年,伺服器工作負載的71%都將被虛擬化。這是個很驚人的數字。但在虛擬化的世界中,安全性往往成為了種阻力。它影響了運作效率和增加不必要的成本,而非是種助力。

虛擬化的問題

大部分的問題在於許多安全解決方案根本不是用來設計給虛擬化的環境。它們將虛擬化資料中心當作傳統的IT環境一般。然而,一個正常的配置可能有幾十台,甚至數百台的虛擬機器,將代理程式安裝到每一台上可能會導致不樂見的後果。安全更新和其他正常任務都可能製造出安全「風暴」,吃掉記憶體、CPU處理能力和儲存空間,導致IT系統的停頓。

將傳統安全方案硬是塞進虛擬資料中心也可能導致人力資源的緊張。想像一下修補、設定和更新每個代理程式所需要花費的時間。這不僅是極端地沒有效率,也可能會留下安全問題。虛擬機器被配置和取消配置的速度代表手動進行修補可能會導致「即時啟動間隙(Instant-On Gaps)」,當虛擬機器從休眠狀態回到線上後並沒有最新的防護。 Continue reading “運作效率:資料中心成功的關鍵"