面對混合雲環境的資安挑戰

企業逐漸移轉至混合雲環境以便迎接更有效率、更加創新的未來,卻也面臨了一些關乎整體策略成敗的重大問題

今日,企業正紛紛投入數位轉型以徹底發揮數位化的潛力,畢竟,數位轉型不僅能提供競爭優勢,更能促進創新、提供改善營運的最新技術。其中一項最重要的技術就是雲端。雲端能為大大小小的企業提供處理巨量資料的能力,帶來龐大的儲存空間及運算效能,當然,好處還不僅止於此。

企業正採用混合雲環境來同時獲得雲端的可靠性與動態應變效益,混合雲除了能為企業提供公有雲的速度及擴充性之外,更能提供私有雲的主控權與可靠性。根據 2019 年 Nutanix 的一項調查顯示,有 85% 的受訪者認為混合雲是最理想的 IT 營運模式。此外 IDC 也預測,到了 2021 年,全球超過 90% 的企業都將採用混合雲端運算的模式來運作,其中包括:企業內環境、專屬私有雲、多個不同公有雲,以及傳統的運算平台。混合雲環境既可彈性地執行需要大量頻寬的應用程式,又能支援不太需要企業內資源的工作負載,讓企業擁有極大彈性與實用性。

隨著企業希望不斷突破數位化的極限並且完成更多任務,有越來越多的企業開始改用靈活的 軟體開發流程,運用 DevOps  工具和方法來簡化軟體與應用程式的開發週期。某些企業,尤其是遵從快速失敗 (fail-fast) 理念的企業,大多著重於快速部署來盡可能提早知道某個專案是否可行,以降低日後的營運成本。為實現此一目標,企業紛紛採用雲端支援或雲端原生的應用程式,其基礎就是混合雲架構。

儘管企業對速度的要求很高,但光憑這點還不夠,企業必須要能妥善保護自己的混合雲環境,解決雲端移轉所帶來的挑戰,包括不斷演進的威脅以及不斷擴大的受攻擊面。儘管混合雲存在著這些麻煩,但它依然迅速掀起了一股風潮,成了企業營運的基礎。不過,要妥善保護自己的混合雲,企業必須具備正確的心態和資安工具。

雲端移轉挑戰


當企業為了將現有基礎架構現代化而移轉至雲端時,企業將面臨許多可能影響效能和成本的資安與整合問題。當應用程式移轉至一個不太適合的雲端環境時,若雲端環境的配備不好,很可能會降低應用程式的效能,但如果太好,又會增加企業的成本。而混合雲環境的挑戰又更加嚴峻,因為企業必須試圖整合各種不同的設計原則與最佳資安實務原則,這正是為何確保雲端移轉的順暢與安全,是企業至關重要的一項任務。

不僅如此,企業還必須達成法規遵循的要求,其中之一就是美國 1996 年健康保險可攜性與責任法案 (HIPAA),此法案訂定了醫院、療養院、私人診所等需處理敏感醫療資料的醫療機構所必須遵守的標準和規範。在營運上採用混合雲環境的機構,必須確保其連接的雲端環境 (以及雲端上的敏感資源) 都受到妥善防護以免因違反法規而導致資料外洩,招致鉅額罰款

除此之外,雲端移轉還可能發生組態設定錯誤的問題,這經常發生在檔案儲存貯體 (bucket) 以及使用者介面,進而造成個人身分識別資訊 (PII) 外洩。組態設定錯誤有時候單純只是使用者的疏失 (例如AWS S3 儲存貯體未設定安全性與加密),但卻可能造成客戶資料或營運關鍵資產暴露在外。

雲端移轉還有另一項挑戰就是可能不小心發生資料外洩。2019 年,Capital One 發生了一起嚴重的雲端伺服器資料外洩事件,洩漏了 1 億名客戶與申請人的個人資訊。同年,網路犯罪集團竊取了 Imperva 的 Amazon Web Services (AWS) API 金鑰,造成  Imperva 發生資料外洩, 洩漏了客戶的敏感資料,這事件就是在該公司進行了資料庫移轉之後才引起。

網路資安人才短缺的問題是困擾全球近 50% 企業的一項挑戰,2018 年全球短缺將近 300 萬名人才 ,這不僅影響企業的營運,更帶來資安的風險。網路資安人才短缺的問題也使得許多企業機構都無法組成一個具備相關專長以確保各類雲端應用程式及平台安全的資安團隊。根據 Logic Monitor 的一項調查,58% 的企業覺得缺乏雲端經驗是他們當今人員編制的一大挑戰。

如何兼顧系統安全與雲端移轉


企業必須花費時間來好好認識自己的雲端,包括雲端的資安功能、設定,以及如何修改登入憑證和權限。除了定期檢查自己的雲端資產是否存在組態設定問題之外,企業也應建置具備進階、整合及適應能力的資安解決方案,以提供即時的防護並確保隨時達成法規遵循要求。


持續演進的威脅


不僅網路威脅日益猖狂,而且惡意程式變種也越來越兇惡。企業無時無刻不面臨資安的威脅,這些威脅很可能衝擊企業的生存:據估計,金融機構每年可能損失的金額約在  1,000 至 3,000 億美元[AC(1] 之譜。此外,企業正紛紛移轉至雲端來改善資訊基礎架構和流程,但網路犯罪集團也迅速跟著轉移戰場,開發專為雲端平台及應用程式設計的威脅。

歹徒還有另一種新的獲利來源,那就是虛擬加密貨幣挖礦惡意程式。這些惡意程式已開始攻擊雲端基礎架構,包括:入侵容器管理平台、注入惡意 Docker 容器、竊取 API 金鑰,以及攻擊控控制台介面。去年約有 2,000 多台 Docker 主機被駭客 感染門羅幣 (Monero) 挖礦惡意程式

此外,雲端應用程式若未套用修補更新或缺乏資安防護,很可能也會發生資料外洩,既可能造成企業數百萬美元的營業損失與罰款,更可能洩漏客戶的個人身分識別資訊。

根據我們的  2020 年資安預測,容器元件的漏洞將是今年 DevOps 團隊最需關心的資安問題之一。近來 Microsoft Azure 混合雲基礎架構被發現了兩個漏洞 (CVE-2019-1372  和 CVE-2019-1234) 可讓駭客執行任意程式碼,並對 Azure Stack 資源發出內部請求。

如何對抗持續演進的混合雲環境威脅


隨著企業移轉至雲端,網路犯罪集團也開始覬覦雲端,企業必須擁有一套能靈活保護整個混合雲基礎架構的資安解決方案。一些採用入侵防護與虛擬修補技術來主動防範網路威脅與漏洞攻擊的解決方案,對企業將有很大幫助。雲端環境的應用程式與軟體需要能夠防範漏洞、資料竊盜及漏洞攻擊的資安防護。至於網路資安防護,則必須要能自動鎖定系統,並藉由自動化的一致性監控與記錄檔檢查來提供即時的警示,以防範連網環境中的非預期性變更。

不斷擴大的受攻擊面

到了混合雲環境之後,企業的受攻擊面將會擴大,因為當企業為了追求能夠盡快建構及部署產品時,需要交互連結各種應用程式、軟體、服務、平台以及網路,而這一切都需要一套全方位防護。尤其,因為第三方程式庫而遭到程式碼注入攻擊的雲端平台數量越來越多。

去年,我們發現了一個利用開放原始碼 DevOps 工具 Docker Engine-Community API 組態設定錯誤的攻擊案例。駭客藉由組態設定錯誤讓容器感染了各種 AESDDoS 殭屍網路惡意程式。這些對 DevOps 非常重要的容器,在開發流程的 各個不同階段都面臨不同的威脅和風險 ,包括容器的映像、原始程式碼、登錄等。

此外,網路犯罪集團還會攻擊軟體供應鏈的其他環節,例如服務供應商。這就是 SmarterASP.net 所發生的狀況,這是一家網站應用程式架構 ASP.NET 的服務供應商,該廠商遭到勒索病毒攻擊。我們更預測,無伺服器平台也將因組態設定錯誤與程式碼漏洞而帶來更大的受攻擊面。

廣大的受攻擊面要如何加以防護


儘管各種應用程式、軟體、平台的連結讓企業能夠迅速建立並同時執行多個工作負載,但企業對於這些彼此交錯的不同技術並不一定能完全掌握其可視性。企業內部與委外資安團隊,需要能確實掌握可視性才能發掘資安問題並盡速加以矯正。此外,亦可考慮導入如趨勢科技 Hybrid Cloud Security 的混合雲解決方案,透過簡化、自動化的防護,讓企業將防護融入 DevOps 流程,並藉由多重威脅防禦技巧來保障運算時期的實體、虛擬及雲端工作負載安全。

趨勢科技的雲端防護解決方案

趨勢科技 Hybrid Cloud Security 混合雲解決方案可提供強大、簡化、自動化的防護,讓企業將防護融入 DevOps 流程,並藉由多重的 XGen™ 威脅防禦技巧來保障運算時期的實體、虛擬及雲端工作負載安全。

 Trend Micro Cloud OneTM  平台能為企業提供一個單一窗口來管理混合雲環境,藉由下列自動化彈性服務來提供即時防護:

  • Workload Security 能藉由虛擬修補來自動保護老舊系統,並利用機器學習技術來防範持續演進的威脅,保護雲端工作負載 (如 Amazon EC2)。
  • Application Security 是一套內嵌防護架構,能在容器、無伺服器及其他運算平台上主動偵測威脅並保護應用程式與 API。
  • Container Security 能偵測容器映像內的威脅、漏洞及可能外洩的敏感資料 (如 API 金鑰和密碼)。
  • File Storage Security 能藉由惡意程式掃描與客製化流程整合,保護雲端原生應用程式架構中的雲端檔案及物件儲存服務 (如 Amazon S3)。
  • Network Security 能攔截攻擊、威脅並偵測網路滲透行為來保護虛擬私有雲 (VPC)。

此外,Cloud One 平台還有 Cloud One – Conformity 可改善企業的雲端資安狀況,藉由自動化的法規遵循檢查來確保他們符合法規與產業標準,如:PCI、GDPR、HIPAA 與 NIST。Cloud One – Conformity 還有一個會不斷成長的知識庫,裡面包含各種針對 AWS 帳戶的檢查,並且提供逐步引導的矯正規則來修正任何錯誤,如此就能協助企業落實 AWS Well-Architected 架構。

原文出處:Undertaking Security Challenges in Hybrid Cloud Environments