了解你在Azure上的共享安全責任

你是否會遷移到雲端運算已經不再是個問題,問題只是何時會發生。而是否知道自己該肩負哪些安全責任,會決定這趟雲端之旅會是平安順利還是充滿顛簸。

雖然有許多事情需要加以考慮,但其中特別重要的是了解在涉及雲端內應用程式和資料的安全性時,你該負什麼責任。這些年來,趨勢科技一直致力於協助客戶了解他們在雲端的共享安全責任,最終能夠在混合式雲端環境保護敏感的企業資源。

在此基礎上,我很高興能夠分享這篇微軟關於雲端運算共享責任的最新報告,這對於正在考慮或已經開始轉移到雲端環境的客戶來說是絕佳的資源。微軟清楚地概述客戶和雲端服務供應商的責任,無論是在On-Prem(企業內部部署),IaaS(基礎設施即服務)、PaaS(平台即服務)或SaaS(軟體即服務)環境的各種不同情境:

 

資料來源:雲端客戶的共同責任,微軟,2016年3 Continue reading “了解你在Azure上的共享安全責任"

趨勢科技連續六年蟬聯全球伺服器防護市場龍頭寶座

IDC最新報告指出趨勢科技市占率已達30.3%,成長速度超越市場

 全球資安軟體及解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布再度榮獲產業分析機構 IDC 評選為全球伺服器防護市場領導廠商。趨勢科技已經第六年蟬聯全球伺服器防護市場龍頭;不僅伺服器防護市場規模在 2014 年已突破 8 億美元,在該市場的營收市占率達到 30.3%,雙雙超越市場與競爭對手的成長速度。

award 得獎

趨勢科技雲端及資料中心防護資深副總裁 Bill McGee 表示:「隨著虛擬化、雲端和混合式部署不斷帶動現代化安全防護的需求,IDC 預測伺服器防護市場的重要性將日益增加。我們在該市場的領導地位,充分展現了我們對該領域的專注,為滿足客戶在混合式雲端的需求,提供一套完整的安全控管,不僅透過集中管理與自動化減輕對營運環境的衝擊,並支援 VMware、Amazon Web Services 及 Microsoft Azure 等主流平台。」

趨勢科技領先市場的趨勢科技Deep Security平台能保護虛擬桌面、虛擬伺服器、雲端以及混合式架構,防範零時差惡意程式和其他威脅,同時能消除資源利用率不佳與緊急修補對營運所造成的衝擊。

IDC 防護產品與服務計劃副總裁 Chris Christiansen 指出:「今日企業在挑選防護解決方案時,在乎的是能解決其所有重要問題的完整防護功能。趨勢科技已連續六年蟬聯伺服器防護市場領導者,與如此值得信賴的伺服器防護領導廠商合作,絕對是明智的抉擇。」

趨勢科技Deep Security平台提供了軟體與服務兩種部署方式,客戶可選擇最適合其資料中心及雲端策略的採購方式。此外,在趨勢科技深耕雲端市場的努力下,趨勢科技Deep Security也在 AWS 和 Azure 市集上架,為客戶提供更多元的採購彈性。

MEDHOST 公司 IT 與託管式服務副總裁 Todd Forgie 表示:「幾乎所有資安廠商每天都必須面對敵人的強大火力,因此我們需要像趨勢科技這樣的合作夥伴來提供必要的反擊能力。趨勢科技能偵測其他解決方案無法偵測的疫情,這正是為何我們當初決定選擇趨勢科技為唯一資安廠商,而且我們從未遲疑。」 Continue reading “趨勢科技連續六年蟬聯全球伺服器防護市場龍頭寶座"

趨勢科技榮獲「最佳軟體即服務-資訊安全大獎」

【台北訊】趨勢科技(TSE: 4704)今天宣佈榮獲 2014 Asia Cloud Awards 中的「最佳軟體即服務—資訊安全大獎」(Best Software-as-a-Service – Security Award)。該獎項對趨勢科技Deep Security給予肯定,肯定趨勢科技在雲端資安領域內的努力及領導地位。

award 得獎

趨勢科技香港及台灣區總經理洪偉淦表示:「能夠獲頒此雲端運算服務的獎項我們感到十分榮幸。我們竭誠協助客戶在雲端及虛擬環境中對抗瞬息萬變的威脅,務求保護其機構安全,這個獎項正是對我們這份努力的認同,實在令人鼓舞。」

第二屆Asia Cloud Awards 2014致力於表揚亞太區內領先的雲端技術供應商,專家評審團成員包括企業資訊長、研究分析家及業界協會。Deep Security在以下四個範疇表現卓越,為趨勢科技贏得「最佳軟體即服務—資訊安全大獎」的殊榮。

  • 服務獨特性及創新
  • 服務穩健性及資訊安全
  • 服務能力及綜合特性
  • 市場接受度及競爭力

許多企業兼具實體及虛擬環境,並日益依賴私有雲及公共雲來提升效率。Deep Security 保護實體、虛擬與雲端伺服器免受惡意攻擊,防護機密資料與重要應用程式,協助預防資料竄改,並且讓企業遵循重要的標準與法規,例如:PCI、FISMA 與 HIPAA。此外協助企業發掘可疑的活動和行為,主動採取預防措施來確保資料中心安全。

查詢更多關於趨勢科技Deep Security平台的資訊,請瀏覽

http://www.trendmicro.tw/tw/enterprise/cloud-solutions/deep-security/index.html

雲端運算風險分擔模型

作者:Jonathan Gershater

我常常會覺得有些人很奇怪,會開快車衝去機場還一邊講著手機,結果坐上飛機後卻開始祈禱著不會墜機。難道他們不知道想要安全抵達目的地,自己也承擔部分的責任嗎?

趨勢科技在討論新支付卡產業資料安全標準(PCI DSS)雲端運算準則的網路研討會中提醒到,雖然雲端服務可以有效地轉移掉資料中心的負擔,但不代表你的安全責任也是。(錯過這和Amazon和Accuvant一起的熱門網路研討會?點入這裡看重播)。

 

當組織在自己的資料中心內管理應用程式,他們控制也負責實體、網路和應用程式的安全。當組織將應用程式放入雲端環境時,他們也不能完全免除對自己應用程式安全性的責任,想要兩手一攤的說:「放到雲端服務上了,雲端服務供應商要負責。」因此就有了「責任分擔」或「風險分擔」的概念出現。公共雲供應商和雲端用戶需要共同對雲端應用程式的安全負責。

AWS(亞馬遜網路服務系統)詳述了雲端供應商和客戶所必須負的責任。

公共雲供應商(如AWS),通常會提供下列服務:

  • 防護外圍網路和資料中心
  • 外圍網路防火牆
  • 備援和高可用性儲存裝置(S3),資料庫和網路基礎設施
  • 故障轉移(亞馬遜主機可用區域(Amazon availability zones))

你(雲端用戶)要負責:

  1. 身份管理和存取控制。AWS用戶可以利用AWS基於角色的存取控制來確保存取AWS虛擬主機的人只擁有符合自己角色的權限。例如,管理者可以獲得存取AWS虛擬主機的所有權限,稽核人員可能只有查看設定或日誌檔的權限。此外,使用者要保管好用來連線到AWS虛擬主機的AWS存取和秘密金鑰,只有被允許存取虛擬主機的使用者擁有適當的金鑰。
  2. 加密運輸過程和磁碟上的敏感資訊。客戶需要用SSL加密所有通訊,並且加密AWS卷宗/磁碟。這可以確保任何網路通信被截獲或卷宗/磁碟被未經授權者存取時,資料是安全的,不能被讀取。
  3. 在AWS虛擬主機上的入侵偵測和防火牆。客戶應該在AWS虛擬主機上安裝防火牆和入侵偵測。客戶可以控制防火牆和入侵偵測規則。這些規則甚至可以依照AWS虛擬主機上所安裝的作業系統和應用程式來加以自動佈署。
  4. 確保應用程式和作業系統都安裝了修補程式並且更新到最新。雖然大多數應用程式和作業系統都有自動更新服務,但往往都會造成停機時間,讓使用者和服務產生中斷。為了減少這樣的干擾,同時減少資料外洩,入侵偵測系統可以防禦想要攻擊軟體漏洞的駭客攻擊。
    Continue reading “雲端運算風險分擔模型"

十大AWS安全祕訣:第二條,密碼策略和多因子身分認證

作者:Mark Nunnikhoven

在介紹如何利用AWS身份和存取管理來保護資源的文章裡,Justin介紹了AWS身份存取管理(IAM)的基本知識。今天我們要來看看如何使用IAM來設定密碼策略和多因子身分認證。

密碼策略(Password Policies)

使用強密碼的重要性是眾所周知的。大多數組織都已經有了密碼策略。這種策略通常會定義複雜度(像是包含多少個數字、特殊字元和密碼長度等),以及變更週期(像是每九十天就必須變更密碼)。

有些策略會更進一步,對於不同的設備或角色有不同的要求。CSIS的前廿項控制裡的第12項 – 「控制管理權限的使用」裡介紹了密碼策略的強化。就是要確保具有管理存取權限的人使用複雜密碼,並且必須一年變更好幾次。

IAM目前提供了一連串的設定來強制執行密碼策略。你可以為你的AWS帳號設定密碼策略。這策略可以讓你定義密碼的複雜度,但並不能設定變更週期。

現在就開始使用密碼策略是很棒,但你需要手動要求使用者定期變更密碼,或是採取別的方法加強……或是雙管齊下!

多因子身份認證

AWS的多因子身份認證(MFA)正是我們用來加強密碼策略的方法。

那麼,到底什麼是MFA?就是使用一個以上的認證因子來驗證誰是使用者。有三個常見因子:你知道什麼東西(something you know)、你擁有什麼東西(something you have)和你的生物特徵(something you are)。

 

我們的使用者已經具備了一個因子,就是密碼(使用者知道的東西)。對於AWS,第二個因子是使用者擁有的東西。可能是硬體認證裝置(可向AWS購買)或用軟體認證裝置,安裝在智慧型手機或其他設備上。

這些認證裝置會顯示隨機生成的數字,必須在使用者輸入自己的帳號和密碼登錄AWS管理控制台時輸入。這數字每隔幾秒鐘就會變化一次,以確保使用者在登錄時有認證裝置在身上。

現在想要認證成功,就必須輸入正確的帳號密碼,加上由正確認證裝置在使用者登錄當下所產生的數字。

Continue reading “十大AWS安全祕訣:第二條,密碼策略和多因子身分認證"

< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源

在接下來的幾個星期,我們將會探討如何防護AWS(亞馬遜網路服務)環境的最佳做法。在我們深入到防護你的虛擬機器、應用程式和資料之前,讓我們從最頂端開始。

作為AWS共享責任安全模型的一部分,AWS消費者防護好自己的服務可以發揮重要的作用。早在二〇一二年十一月的AWS re:invent大會上,Max Ramsay就將AWS與CSIS廿個關鍵安全控制對應,作為進一步了解AWS和客戶端(你)之間共同責任的框架。關鍵控制的第十二項是控制管理權限使用,負起保護責任是身為AWS用戶的你所必須加以正視的。在接下來的幾個星期,我們會聚焦在你所需要負起責任的關鍵控制。

在虛擬化或雲端世界,管理權限就好比是作業系統上的管理者帳號。不過,現在你有更多組強大的身份需要管理,好存取AWS控制台和API。

收起你的AWS管理者(root)帳號,利用IAM(身份存取管理)來啟動存取權限

當你開始使用AWS,你會獲得一組帳號和密碼。這個帳號擁有存取你所有AWS資源和帳務資訊的權限。不要跟任何人分享!我知道有某個經理跟他的團隊共享帳號,他們很快就發現可以用經理的信用卡在Amazon.com上買東西!

確認該帳號安全後,接著進到控制台上的IAM 選項,開始定義群組和使用者。

一般情況下,你會需要兩種類型的使用者:

  • 需要帳號密碼存取AWS控制台的人
  • 使用存取密鑰帳號(Access Key Id)和秘密存取金鑰(Secret Access Key)來存取API的程式

在這兩種情況中,你會想透過群組來分配所需的最低權限給使用者。AWS會幫你提供一些策略範本。例如,你可能會想提供操作人員「Power User Access」權限,而給開發人員「EC2 Full Access」權限。 Continue reading “< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源"

什麼是雲端運算?雲端運算定義

什麼是雲端?

在過去,所有檔案都儲存在硬體上。派對照片、試算表和學校作業都存放在硬碟或光碟上。但今天,你會將照片儲存到FacebookInstagramPicasa上。檔案上傳到DropboxGoogle雲端硬碟。甚至可能會放在電子郵件信箱內,透過電子郵件附件寄給自己的方式!你知道你的檔案就放在某處,但到底是哪裡?

這些檔案放在雲端之中。雲端就是提供你服務的地方,當你有需要時可以在任何時間地點用來儲存資料、執行應用程式。註1 跟需要下載的桌面應用程式不同,雲端服務可以透過網路和行動裝置在任何時間地點使用。註2

雲端服務可以根據你的需求來擴充資源,這比買硬體便宜。註3 也讓人有無限儲存空間的錯覺。

為何要轉移到雲端?

 

想像一下有無限而安全的儲存空間,用合理的價格來備份你的資料。而這些只是人們將資料轉移到雲端的部份原因。

 

雲端服務同時也可以處理需要硬體或本機端軟體的工作。比方說伺服器,現在是代管在雲端服務。像Google等公司也將他們的應用程式放在雲端環境。Google雲端硬碟VimeoFlickrWordPressWidgetbox,這些都是受歡迎的雲端產品之一。註4

 

註1  http://media.johnwiley.com.au/product_data/excerpt/90/04708879/0470887990-180.pdf

註2  http://www.readwriteweb.com/cloud/2012/05/the-web-vs-the-cloud-which-metaphor-survives.php

註3 http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment

註4 http://theinstitute.ieee.org/technology-focus/technology-topic/a-view-inside-the-cloud

 

屬於你天空的雲端

 

雲端可以有各種不同的使用方式。

 

檔案儲存和分享

  • 類似DropboxiCloudBox等服務都提供免費的儲存空間,而且讓你可以付費取得更多空間。這些服務可以讓同一份檔案和資料夾在多個設備間同步。也讓你可以去分享檔案連結。

 

多媒體儲存和播放

  • 你不再需要沖洗照片、下載MP3或電影。PicasaSpotifyNetflixSoundcloud和其他服務可以讓你在各種設備上經由網路來播放多媒體檔案。

 

系統備份和回復

  • 有些作業系統會提供雲端備份和回復服務以備不時之需,像設備損毀或失竊,或是你的資料在各種情況下被刪除了。

 

銀行和金融

  • MintPageOnce等個人理財服務可以讓你更簡易的監控費用、賬單或查看不同貨幣的投資組合。

 

社群媒體和通訊

  • 雲端也可以讓你用來溝通和談心!FacebookTwitter等社群網站都有應用程式讓你使用。即時通(IM)和語音服務像Google VoiceSkype可以讓你透過網路來打電話和聊天,而不是用一般的電話。

 

筆記和書籤

  • 利用應用程式來複製連結是老把戲了,像EvernoteInstapaper都可以讓你點幾下就能儲存筆記和書籤。

 

為何要飛翔在雲端?

 

這裡有些搬移到雲端的原因:

 

  • 資料存放在雲端,對你而言意味著更少的硬體。

 

  • 不再需要去更新多份副本檔了。

 

  • 更容易去分享你的資料給所有人,或只給指定的對象。

 

  • 有許多的免費應用程式,你可以升級以獲得更多功能。

 

  • 許多應用程式會互相連結。比方說你可以設定推文也出現Facebook上。

 

  • 利用應用程式或線上購買多媒體通常比較便宜。

 

  • 你的設備負載將會更少,因為雲端處理了一半的工作。

 

  • 節省時間和精力在一些雜事上,像是製作費用圖表或付賬單。

 

  • 可以讓你少付些電話或專業服務費用。 如同他們所說的,有應用程式可以做!

 


什麼是雲端運算?雲端運算定義

發表者:趨勢科技資料外洩防護小組資深協理 Todd Thiemann

雲端運算 (Cloud Computing) 是目前電腦產業最夯的用語,但它的意義對許多人來說都不盡相同。不過,趨勢科技卻必須透過同一個詞彙來描述雲端運算的多種面向。有鑑於此,本文希望點出雲端運算的各種面貌,藉此讓大家在討論時能有所共識。本文從實用而非理論的角度出發,提出我們客戶在討論雲端運算與不同雲端形式時所用的詞彙。

很多聰明的人已經開始注意到雲端運算的安全問題,並且開始觀察人們消費雲端運算的方式。下圖顯示的供應模式以及雲端運算的實用定義,請參閱美國國家標準暨技術機構 (US National Institutes of Standards & Technology) 資訊科技實驗室 (Information Technology Lab) (http://www.nist.gov/) 兩位研究員 Peter Mell Tim Grance 所著的簡報:http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2008-12/cloud-computing-standards_ISPAB-Dec2008_P-Mell.pdf

 

軟體服務化 (SaaS)透過網際網路存取雲端的應用程式 (例如:Salesforce.com、趨勢科技 HouseCall)

平台服務化 (PaaS)將客戶開發的應用程式部署到雲端的服務 (例如:Google AppEngine Microsoft Azure)

基礎架構服務化 (IaaS)有時亦稱「公用運算」(Utility Computing),意指處理器、儲存、網路以及其他資源的租用服務 (例如:Amazon EC2Rackspace 以及 GoGrid)。客戶不需管理底層的雲端基礎架構,但是能夠掌控作業系統、儲存、網路、所部署的應用程式,並且能夠選擇網路元件 (防火牆)

Continue reading “什麼是雲端運算?雲端運算定義"