企業積極擁抱數位轉型,但層出不窮的網路攻擊,或人為使用不當造成的資安危機,往往讓企業IT人員聞雲端色變,不少企業高層也對「雲」的安全性充滿疑問。趨勢科技目前在雲端服務供應商AWS中註冊超過600個帳號,也是AWS與Azure等雲端平台在台灣的重度使用者,希望藉由此文分享我們對資安管理的哲學、政策與經驗,讓台灣企業在上雲或考慮上雲時,提供台灣企業上雲的參考。
By 趨勢科技 全球資安長 Jonah Feng
雲端移轉的三大資安疑慮
對趨勢來說,資安三大疑慮分別為帳號遭竊、帳號使用透明度以及內部使用者的不當使用。首先,趨勢所使用的雲端帳號各自獨立,不會互相影響,但如果單一使用者使用不當,或是安全屏障不夠高,就有可能遭到入侵,最後只能被迫取消該帳號。其次是當一個雲端帳號建立後,使用者活動軌跡?使用了哪些資源?這些看不到的風險都可能造成資安漏洞。最後則是內部使用者的不當使用,雖然這個問題在地端也可能發生,但因為企業對雲端技術掌握度較低,無法及時修補資安問題,此疑慮在雲端的環境帶來的風險將遠大於地端。
資安監控滴水不漏,提高能見度
針對上述疑慮,趨勢也作了相對應的各項資訊安全監控措施。首先是使用Cloud App Discovery來分析流量記錄,再根據風險值超過80的風險因素進行排名和評分,讓管理者能夠持續看到雲端使用情況、影子IT,以及風險因子IT在組織中帶來的風險,協助企業做統一性的雲端安全管理。
舉例來說,在趨勢,員工被授權使用的網路硬碟只有微軟的OneDrive,但從掃描得到的資料可以看到這些雲端帳號使用的網路硬碟五花八門,顯見員工使用實況與公司資安政策有落差。獲得這些數據不是為了知道哪些是員工間最熱門的應用程式,而是可以用來預測評估當管理者在制定公司資安規範時,可能在哪些環節會遭遇到何種問題,進而設計出積極有效的管理方式。
制定明確務實的資安政策,落實帳號管理
當我們要進一步導入新的雲端應用時,第一件做的事是明定資安政策。通常主流的雲端服務供應商都有提供具水準的資安顧問,以AWS的Trusted Advisor來說,它會將帳戶偵測到的資安風險,分為低中高三個等級,管理者一目瞭然,便於改善帳號環境安全;另外,Azure的Security Center,則是提供量化的指標,讓管理者可以依此明確要求並追蹤員工修正。
以趨勢的資安政策為例,其中最關鍵的一項就在於「帳號同盟(account federation)」。當每一個員工都可以自行上雲端申請雲端帳號時,該如何落實管理成為一大難題?為此,我們強制所有員工的雲端帳號都要與內部帳號連動,當員工離職時,該帳號就會自動註銷,雲端資源也就隨之消失,孤兒帳號帶來的風險就自然消失。
資安評比 掌握外部廠商安全性
除了內部控管外,趨勢的資安政策也往外部延伸。我們開發了一個流程叫做Cloud Vetting Process,以確保我們的供應商、雲端合作廠商或所使用的雲端服務,都符合我們的資安標準。當我們評估某一項雲端服務時,會請該廠商填寫資安問卷,如果要進行更深度的協作,則會進一步檢視對方的資料流、存取管控,確認都符合趨勢的資安標準,最後再用第三方的工具進行資安評比,綜合上述決定是否要採用這家廠商的服務。
Security As Code 全面自動化且即時進行資安查核,即時發現使用異常
雲端資源雖時都在變化,過去半年一次的資安稽核已經完全無法跟得上雲端快速進展的要求。今天在趨勢科技,每天都會列出我們所有在公有雲上的資源,每天進行例行掃描,並與資安查核表比對;針對其中更重要的雲端應用,則進一步導入行為分析與異常偵測,有效防止資源濫用及使用不當等問題。
當系統偵測或比對出具有資安風險的帳號,會立即通知帳號擁有者進行修正,同時將有問題的紀錄,自動反饋給資安管理者,形成一個管理迴路;這個動作是7×24地進行監測且全面自動化,並會套用到每一個新採用的雲端服務上。我們把資安查核、預警、修正落實在程式碼中,「Security As Code」,以追求在最短時間內補上資安漏洞,這就是趨勢追求的最極致的資安管理。