雲端開發人員的資安責任為何?他們該如何維護雲端內的安全?這份指南說明雲端資安的一些重要觀念,以及有哪些領域需要彈性、全方位的資安解決方案來加以保護。
全球企業都在經歷一場所謂的數位轉型革命,他們紛紛開始採用、移轉、並逐漸熟悉當今各種複雜的雲端式技術。
雲端運算環境的資安管理對於資安長 (CSO) 與雲端 IT 團隊或系統管理員來說,可能相當沉重,原因就在於雲端服務的易用性、彈性與組態可輕易調整。雲端系統管理員必須對其企業的雲端使用方式有深入的掌握,才能設定適當的資安政策和標準,並妥善安排政策執行者與責任歸屬。
雖然傳統的網路防護技術和機制,無法輕鬆無縫移轉至雲端,但網路系統管理員所面臨的資安問題卻大致相同:如何防範網路遭到未經授權的存取並避免資料外洩?如何確保運轉率?如何將通訊加密以及認證雲端使用者?如何輕鬆偵測威脅並發掘自家開發的應用程式當中的漏洞?
了解共同分擔的責任
基本上,「雲端本身的安全」與「雲端內的安全」這兩個是不同的概念,最早提出這個看法的是 Amazon,其目的是要釐清廠商與客戶之間在雲端安全與法規遵循上各自應該分擔的責任。雲端廠商該負責的是雲端服務的底層硬體與網路基礎架構,而客戶則是根據其所採用服務來決定他們須直接承擔多少程度的資安責任。
「當您與硬體越近,您承擔的責任就越大。」— Mark Nunnikhoven
副總裁,雲端研究,趨勢科技
更確切一點,如同趨勢科技在「雲端是什麼與用來做什麼」(The Cloud: What It Is and What It’s For) 一文當中所說,不同的雲端服務型態:基礎架構服務 (IaaS)、平台服務 (PaaS) 或軟體服務 (SaaS),決定了哪些元素 (從雲端底層硬體基礎架構一路到雲端上產生、處理及儲存的資料) 該由廠商或客戶來負起保護的責任。
譬如,在一個 PaaS 環境中 (如 Google App Engine、Microsoft Azure PaaS 或 Amazon Web Services Lambda),開發人員可採購一些資源然後在上面開發、測試、執行各種軟體。在這樣的環境下,使用者該負責的大致上就是應用程式和資料,而雲端廠商該負責的是確保容器基礎架構與作業系統的安全。不過,如前面所講的,視客戶採用的服務而定,其責任也會有不同程度的差別,且差異更為細膩。
雲端本身的安全是雲端廠商的責任,並且透過合約規範和義務來確保,例如廠商與客戶之間的服務等級協議 (SLA) 就是一例。此外,還有一些效能指標,如:運轉率與延遲、問題解決速度、內建的資安功能,甚至是效能不彰的罰款,通常都有一套雙方都接受的標準。
所以,對於廣大的雲端使用者來說,這份指南所要探討的其實是「雲端內的安全」,包括:挑戰、威脅等等。
資安主要挑戰
企業或許正在將某些需求移轉至雲端,或者正在開始全面雲端化 (也就是「雲端原生」),也或許已逐漸掌握雲端資安策略的精隨。但不論企業正處在雲端轉型的哪個階段,雲端系統管理員所需執行的資安作業大同小異,例如:漏洞管理、偵測網路重要事件、回應事件、蒐集威脅情報並採取行動,以及讓各個環節遵從相關的產業標準。
管理複雜性
雲端部署所要面對的基礎架構有別於企業內網路。在雲端裡,服務的多元化使得企業很難找到一套連貫的資安解決方案。不論任何時候,雲端系統管理員所面對的都是一個混合式環境。但讓事情複雜的是,雲端運算的風險取決於每個雲端部署策略本身。而這又取決於雲端用戶的個別需求以及其可接受或願意承擔的風險。這正是為何風險評估是一項重要練習,不能只是一味照抄現成的最佳實務原則或法規。但法規還是可以當成一項基準或架構,讓您在評估風險時能考慮到一些真正的問題。
掌握狀況
雲端訂閱的方便性讓企業的腳步加快,使得採購單位的決策突然不受 IT 部門管轄。然而,IT 部門卻仍必須負責保護雲端上開發的應用程式。因此 IT 的挑戰變成如何在不影響企業腳步與程式開發效率的情況下,確實掌握並保護雲端內的所有活動。
雲端內的資安風險與威脅
根據趨勢科技一份針對雲端建置最常見的資安陷阱所做的研究「解構錯綜複雜的雲端資安威脅」(Untangling the Web of Cloud Security Threats) 指出,組態設定錯誤依然是雲端客戶最常出現的資安弱點。這意味著,當雲端客戶在設定自己的雲端運算實體或服務時,經常忽略了一些重要設定,或者因修改設定而帶來了風險。
「您雲端內的資料與應用程式安全完全掌握在您自己手中,今日已有足夠的工具來讓您花費大量 IT 經費建置的雲端環境至少與您舊式的非雲端系統一樣安全。」— Greg Young
網路資安副總裁,趨勢科技
駭客會試圖搜尋這些組態設定錯誤,然後利用這些錯誤來發動各式各樣的惡意攻擊,包括一些高度針對性、鎖定特定機構的網路攻擊 (不論該機構是他們的最後目標或者只是他們入侵其他網路的跳板) 以及一些純粹亂槍打鳥的攻擊。除了組態設定錯誤之外,駭客還可能利用偷來的登入憑證、不肖的容器,以及任何一個軟體層的潛在漏洞來駭入雲端部署環境。
實際的攻擊案例已經為企業帶來了財務或其他損失,以下是一些可能對企業造成影響的雲端網路攻擊:
- 虛擬加密貨幣挖礦:駭客可能暗中利用竊企業的雲端運算資源來偷偷挖礦,這不僅會占用大量資源,而且可能造成網路流量暴增,企業的帳單金額也因而飆高。
- 網路盜卡:駭客可能駭入企業的網站應用程式,注入惡意程式碼來蒐集網站訪客的刷卡資訊,不僅造成消費者的重大財損,同時也損害企業商譽。
- 未經授權的存取:可能導致資料遭到篡改、外洩或損毀,歹徒可將偷到的資料用於各種不法用途,例如竊取企業的客戶資料庫,然後將資料拿到網路犯罪地下市場販售,或是竊取商業機密。
雲端內需要資安防護的環節
當雲端開發人員在規劃其雲端需求時,應同時趁這機會將防護一開始就內建至雲端部署當中,如此才能避免前面所提的各種威脅和風險。藉由確保每個相關環節的安全,IT 團隊就能從容地應付當前及與未來的雲端環境。而這也是 Gartner 2020 年雲端工作負載防護平台市場指南 (Market Guide for Cloud Workload Protection Platforms) 報告中的建議。
網路 (流量檢查、虛擬修補)
網路流量檢查是資安很重要的一道防線,這道防線不僅能防範零時差攻擊與已知漏洞攻擊,還能提供虛擬修補防護。雲端上的防火牆有別於傳統的防火牆,因為實務上的挑戰主要還是要在不干擾網路連線或現有應用程式的情況下部署防火牆,不論部署在虛擬私有雲內,或部署在雲端網路上。
雲端運算實體 (執行時期工作負載防護)
資安的詞彙與典範會隨著人們認為需要保護的元件而改變,所謂的雲端「工作負載」,是指一個雲端運算實體所負責的功能或工作。對雲端系統管理員來說,妥善保護工作負載以防範漏洞攻擊、惡意程式以及未經授權的變更,是一項艱難挑戰,因為這些工作負載可能位於伺服器、雲端或容器環境當中。工作負載可以隨時視需求而動態啟動,但每一個運算實體都必須能被雲端系統管理員所掌握,並符合資安政策的要求。
DevOps (容器防護)
近年來最夯的雲端運算服務軟體單元,就是所謂的「容器」。使用容器可確保軟體不論實際所處的運算環境為何都能可靠的執行,因為當程式的某些程式碼、工具、系統程式庫,甚至所需的軟體版本都有自己的要求時,就很難複製出相同的環境。
在軟體開發階段就將資安融入,對開發人員與營運團隊來說尤其重要,因為雲端優先的應用程式開發正逐漸崛起。這意味著,容器必須先經過掃瞄來確定容器內沒有惡意程式、漏洞 (連同相依的軟體在內)、機密資料或金鑰,甚至是法規遵循問題。而且能越早在軟體建構流程當中執行這些資安檢查越好,最好是融入持續整合/持續交付 (CI/CD) 的工作流程當中。
應用程式 (無伺服器、API、網站應用程式)
傳統的資安防護無法部署在某些無伺服器 (Serverless) 或容器平台內,但應用程式本身就像其他環節一樣必須受到嚴密防護,不論應用程式簡單或複雜。對許多企業來說,能夠快速而有效率地開發與部署新的應用程式,是他們邁向雲端主要動力。然而這些應用程式卻是威脅入侵網站的重要入口,駭客可能的手法包括:程式碼注入、自動化攻擊、遠端指令執行等等。因此一旦發生攻擊事件,雲端系統管理員必須要能深入掌握攻擊的詳細狀況。
檔案儲存
企業邁向雲端的主要 (或部分) 原因,是希望能減輕企業內儲存的壓力。但雲端檔案或物件儲存很可能成為感染來源,如果有任何已知的惡意檔案被上傳至雲端的話。因此,企業必須要能掃瞄所有類型的檔案,不論檔案大小。而且最理想的方式是在檔案儲存之前就預先掃瞄,以降低其他使用者存取和執行到惡意檔案的風險 (如果事後才掃瞄的話)。
法規遵循與企業治理
一些像一般資料保護規則 General Data Protection Regulation (GDPR) 的資料隱私法規與支付卡產業資料安全標準 (PCI-DSS) 等產業標準,還有健康保險可攜性與責任法案 (HIPAA) 等立法,對於必須蒐集、處理、儲存資料 (尤其在雲端內) 的企業來說,有著攸關企業生存的影響。雲端系統管理員必須在法規遵循要求與雲端靈活性效益之間求取平衡。企業應借助一些防護技術來確保其部署環境符合資安最佳實務原則,若不這麼做,企業很可能在不知情的狀況下違反了法規而遭致罰鍰,而這些罰鍰很容易就讓好不容易省下的成本徹底被抹煞。
雲端防護技術
由於牽涉前述這麼多的環節,因此企業在思考自己的雲端策略時,務必設法讓一些必要的防護技術盡可能簡化。從惡意程式防護與入侵防護、到漏洞管理與端點偵測及回應,整套資安防護解決方案必須盡量減少平常 IT 人員在執行分析時所必須用到的工具、儀表板、介面等等。同時,還必須要能以視覺化方式忠實呈現企業整體雲端營運環境的抽象網路邊界,不論某項活動是否由 IT 所批准 (例如某名開發人員一時興起所撰寫的工具)。
趨勢科技可協助 DevOps 團隊利用Hybrid Cloud Security(混合雲防護) 混合雲防護解決方案建構安全、快速交付、隨處執行的應用程式。這套解決方案提供了強大、簡化、自動化的防護來讓企業將防護融入 DevOps 流程當中,藉由多重的 XGen 威脅防禦技巧來保障實體、虛擬及雲端工作負載的安全。透過 Cloud OneTM SaaS 服務平台讓企業從單一介面保護整個混合雲環境,擁有即時的資安防護,包含以下服務:Network Security、Workload Security、Container Security、Application Security、File Storage Security 以及 Conformity。
對於正在尋找執行時期工作負載、容器映像以及檔案與物件儲存防護軟體的企業,Deep Security與 Deep Security Smart Check 的搭配,可讓您在開發流程當中隨時掃瞄工作負載與容器映像是否含有惡意程式及漏洞,在工作負載與容器映像部署之前預先防範威脅。