雲端運算 - 資安趨勢部落格

務實的混合式雲端防護

2017 年 05 月 23 日2017 年 05 月 09 日趨勢科技 TrendMicro

天花亂墜的行銷術語很容易讓人迷惘。最近，「混合式雲端」一詞似乎越來越浮上檯面。往好處想，就目前及可預見的未來，這對絕大多數企業所面臨的狀況還算是蠻貼切的描述。

除非您公司是剛剛或最近幾個月才成立，否則您應該已經累積了一定的 IT 資產，當然這些都不是免費的。因此，您已經有一些現有投資，所以您當然希望盡可能發揮它們的最大效益。但問題是，未來顯然是雲端的時代，其動態的環境能夠加快您企業創新的腳步。

所以現實情況是，您有好一陣子必須維持同時兩種環境，直到您將原有的 IT 資產完全淘汰為止。而這就是所謂的「混合式雲端」。

準備面對混合式雲端

絕大多數企業都掉入了一個陷阱，那就是將兩種環境分開看待，然後為個別環境建立一套專門的工具和流程。其實，混合式雲端若要發揮效益，最簡單的一項原則就是：「不要做兩次工」。

但這說起來比做起來容易。企業內部署的環境，通常有許多手動的作業流程，並且經常切割成多套獨立系統。然而對雲端來說，所有流程都已內建在系統當中，並且透過自動化來管理，完全打破傳統的藩籬 (請參閱「 DevOps」一詞)。

所以，企業的目標是，不論面對哪一種環境都應該採用同一套工作流程。但不幸地，在現實當中，有些企業內系統就是必須例外處理。因為，現有的系統很多當初都不是為了自動化或整合而設計。

因此，可以的話，請盡可能減少這類例外情況。例如當您要部署一套網站伺服器時，不論是在企業內或在雲端，您團隊的作業流程應該要盡可能一致。繼續閱讀

中小企業採用軟體即服務（SaaS）的安全挑戰

2016 年 04 月 13 日2016 年 04 月 13 日趨勢科技 TrendMicro

隨著中小企業市場的發展及競爭的日益激烈，公司會尋求各種方法來降低成本並提高員工工作效率，創造嶄新且能夠持續的商業模式以免現有客戶群不被競爭對手所蠶食，並且又能帶來新的客戶。變動快速的市場迫使企業考慮雲端解決方案。

軟體即服務（SaaS）對你的企業來說是個正確答案嗎？也許，但這裡有些你需要考慮的事情：

做好功課。這聽起來有點蠢。但我過去交談過許多合作夥伴都是先一頭栽進軟體即服務（SaaS）而沒有充分評估運作模式。底下是一些你需要回答的問題。

你的客戶是誰？他們能夠接受雲端作業嗎？
你目前的成本結構是什麼？
你的競爭對手在做什麼？
你的IT團隊工作滿載嗎？

繼續閱讀

趨勢科技連續六年蟬聯全球伺服器防護市場龍頭寶座

2016 年 01 月 21 日2016 年 01 月 21 日趨勢科技 TrendMicro

IDC最新報告指出趨勢科技市占率已達30.3%，成長速度超越市場

全球資安軟體及解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今天宣布再度榮獲產業分析機構 IDC 評選為全球伺服器防護市場領導廠商。趨勢科技已經第六年蟬聯全球伺服器防護市場龍頭；不僅伺服器防護市場規模在 2014 年已突破 8 億美元，在該市場的營收市占率達到 30.3%，雙雙超越市場與競爭對手的成長速度。

趨勢科技雲端及資料中心防護資深副總裁 Bill McGee 表示：「隨著虛擬化、雲端和混合式部署不斷帶動現代化安全防護的需求，IDC 預測伺服器防護市場的重要性將日益增加。我們在該市場的領導地位，充分展現了我們對該領域的專注，為滿足客戶在混合式雲端的需求，提供一套完整的安全控管，不僅透過集中管理與自動化減輕對營運環境的衝擊，並支援 VMware、Amazon Web Services 及 Microsoft Azure 等主流平台。」

趨勢科技領先市場的趨勢科技Deep Security平台能保護虛擬桌面、虛擬伺服器、雲端以及混合式架構，防範零時差惡意程式和其他威脅，同時能消除資源利用率不佳與緊急修補對營運所造成的衝擊。

IDC 防護產品與服務計劃副總裁 Chris Christiansen 指出：「今日企業在挑選防護解決方案時，在乎的是能解決其所有重要問題的完整防護功能。趨勢科技已連續六年蟬聯伺服器防護市場領導者，與如此值得信賴的伺服器防護領導廠商合作，絕對是明智的抉擇。」

趨勢科技Deep Security平台提供了軟體與服務兩種部署方式，客戶可選擇最適合其資料中心及雲端策略的採購方式。此外，在趨勢科技深耕雲端市場的努力下，趨勢科技Deep Security也在 AWS 和 Azure 市集上架，為客戶提供更多元的採購彈性。

MEDHOST 公司 IT 與託管式服務副總裁 Todd Forgie 表示：「幾乎所有資安廠商每天都必須面對敵人的強大火力，因此我們需要像趨勢科技這樣的合作夥伴來提供必要的反擊能力。趨勢科技能偵測其他解決方案無法偵測的疫情，這正是為何我們當初決定選擇趨勢科技為唯一資安廠商，而且我們從未遲疑。」繼續閱讀

雲端安全：分割（Segmentation），隔離（Isolation）和認證（Accreditation）…我的天呀！

2015 年 12 月 25 日2015 年 12 月 25 日趨勢科技 TrendMicro

還在不久之前，設定邊界防火牆已經是最好的做法。要為伺服器做好分割區段實在太過複雜與高成本了。

但這一切都隨著軟體定義網路的出現及虛擬化技術和主機軟體的進步而改變。托托，我想我們已經不在堪薩斯了（註：綠野仙蹤內桃樂絲的台詞）！我們現在能夠實際地去應用Gartner報告內所討論到的分割（segmentation）和隔離（isolation）安全最佳實作。

從哪裡開始？

亞馬遜網路服務（AWS）提供強大而友善的方式來實施基本的網路ACL（存取控制列表）。ACL指的是控制哪些網路端口可以互相對談及跟外部網路連接。

AWS預設是全部禁止，意思是沒有端口會開啟，除非你有特別要求。理想上，你會開啟最低所需的端口，並且只開放給需要它們的資源。例如，你可以將網頁伺服器的端口80/443開放給所有網路，但你不該將它的RDP端口開放給外部網路…或是完全不要開放，如果可以的話。

就跟巫師一樣，AWS有個聰明的做法可以讓它變得更加容易。比方說我想保護一個有著網頁伺服器、應用伺服器和後端資料服務的三層架構應用程式：

AWS可以讓你定義安全群組，就如同給多個同類型虛擬機器的範本。為了讓它更加容易，讓規則集保持不大，你可以將安全群組連結在一起。例如，只允許從網頁伺服器層虛擬機器的443端口網路流量到應用程式層。聽起來很簡單，也的確是，但卻令人難以置信的強大。

如果再加上VPC（虛擬私有雲），你可以對各種架構運用豐富的分割（segmentation）和隔離（isolation）政策。AWS的架構中心有許多樣本可以幫助你去到翡翠城（註：綠野仙蹤內桃樂絲的目的地）。

這就夠了，對不對？

並不盡然。正如我們在之前的文章討論過，只進行分割和只開放所需端口通常是不夠的。像Shellshock、Heartbleed和其他威脅都發生在這些合法端口上。為了讓這些飛天猴（註：綠野仙蹤內的怪物軍團）遠離你的虛擬機器，你必須深入這些網路封包資料。入侵防禦系統（IPS）軟體可以確保進出你虛擬機器的網路流量沒有惡意企圖。繼續閱讀

雲端防護：到底該不該修補…

2015 年 11 月 30 日2015 年 11 月 30 日趨勢科技 TrendMicro

讓我們再來談談 Gartner 研究報告中所提如何保障 Amazon Web Services 雲端工作負載安全的最佳實務原則。事實上在這方面，時機是最重要的關鍵。

讓我們回想一下 2014 年 4 月 1 日，也就是 Heartbleed心淌血漏洞漏洞揭露的那天。此漏洞可讓駭客利用 OpenSSL 程式庫當中的 SSL 協議 (handshake) 漏洞，直接從電腦記憶體中擷取敏感的資訊。而且全球有千千萬萬個應用程式都採用 OpenSSL 程式庫！

您該怎麼辦？

首先，您必須知道自己是否受到影響。不論網路式或主機式漏洞掃瞄都能協助您發掘受影響的工作負載。接下來呢？接下來我們與 Gartner 專家的看法一致，但卻會違背大多數企業現行的做法，那就是：別修補。沒錯！不要修補營運中的系統！

我們的意思並非不要修補漏洞、讓伺服器一直暴露在危險當中，而是：別在營運系統上套用可能造成營運中斷的修補程式。

您該做的是，將修補程式套用在測試環境當中，在部署前先完成徹底的測試。我們在上次的秘訣中提到資安防護應該是一開始就考慮到的問題，也談到您該如何利用動態或靜態方式打造新的伺服器。以這樣的作業流程為基礎，再加上測試能力，您就能盡量降低系統修補造成營運中斷的機率。同樣地，關鍵就在於自動化，因為這樣才能確保您有一套可快速建立及測試新應用程式環境的作業流程。

那漏洞該怎麼辦？時間正一分一秒流逝… 繼續閱讀