雲端安全:共同責任進行中

雲端安全屬於共同責任,現在是個很好的時間點去進一步地探討這個想法,看看這個模型應用到真實環境內會如何。

Cloud5

這個模型

在我們深入探討之前,讓我們先確保彼此對於這個模型有著相同的理解。

這是個很簡單直接的模型。讓我們從安全需求無所不在這觀點開始,為了管理一次部署的安全性,我們將各種責任劃分成以下幾個領域:

  • 實體基礎架構
  • 網路基礎架構
  • 虛擬化層
  • 作業系統
  • 應用程式
  • 資料

下一步就是要確認誰該負責上述各領域的安全性:AWS(雲端服務供應商)或使用者 (使用雲端服務的人)。

根據服務的不同,「需要為該領域負責的人」也會有所不同。

這些領域的安全責任會隨著你所使用服務的類型而改變。

以使用EC2作為例子,AWS負責實體基礎架構、網路基礎結構和虛擬化層。這代表你需要負責作業系統、應用程式和資料方面的安全性。 繼續閱讀

雲端安全

作者:Mark Nunnikhoven(趨勢科技首席工程師)

你正在向著雲端前進,但在到達應有的高度前會先撞上一道牆。這道牆就是你組織的安全要求。幸運的是,當你了解如何在雲端安全的運作,這道牆很容易突破。

模型

我們很幸運,因為任何雲端的安全模型都是一樣的。就是共享責任模型。

大體上說,這是個非常簡單的模型。你和你的雲端服務供應商共享你所部署一切的安全責任。

 

模型本身很簡單,但應用起來可以很細微。

簡單

簡單概括此模型:

在AWS的Mark Ryland關於共享責任模型的應用講座中,他透過一個矩陣來解釋這模型,說明該模型如何根據你所使用的雲端服務類型而變化。

我喜歡簡單一點的總結:「你越接近硬體,你的責任越多。」 –出自於我的最新發言。

 

責任區域

需要防護的區域通常屬於以下幾類:

  • 實體基礎設施
  • 網路基礎設施
  • 虛擬化層
  • 作業系統
  • 應用程式
  • 資料

而在現實世界中的應用,雲端服務供應商幾乎都會負責直到且包括虛擬化層的一切。 繼續閱讀

什麼能真正推動雲端運算大規模的成長?

作者:Dave Asprey(趨勢科技雲端安全副總)

當大多數IT專家談論到雲端運算,他們會想到基礎設施即服務(IaaS)或平台即服務(PaaS)。不太容易去想到的是,有很大比例的IaaS是用來推動軟體即服務(SaaS)產品,而SaaS本身占了雲端運算市場的最大部分。

Cloud5

David Linthicum在InfoWorld上引用了一篇Capgemini的報告,顯示雲端運算市場規模從2009年的174億增長到2013年的442億。而有趣的是,SaaS的市佔率也從69 %降低到58%,歸因是由於IaaS的成長。

我並不同意。現在越來越難去將一個應用程式歸類到一個特定類別。如果它依賴其他幾種雲端技術,那它是軟體即服務,還會變成混合雲?如果它被銷售為基礎設施即服務產品,但管理是靠軟體即服務呢?你的內容傳遞網路(CDN)是基礎設施即服務產品或軟體即服務產品?我也不知道。

而我馬上浮現到腦海裡的是趨勢科技Deep Security產品。它非常的具有彈性,讓你能夠從自己的私有雲、公共雲或趨勢科技所代管的服務上來執行管理主控台。它可以管理橫跨實體伺服器、虛擬機器、私有雲和公共雲上的安全性。你可以基於使用量(即SaaS)來計費,或是實行企業合約。

你告訴我 – 這是SaaS產品?或是IaaS?不管是什麼,它都有一定的規模,而且越來越成長,而且它並不是簡單的SaaS/PaaS/IaaS,這我們在2006年所發明的層次架構,用來解釋我們自從代管和應用服務供應商(ASP)在1997年崛起後所做的事情。

你雲端策略所該做的是不要太關心某個東西是否在這三個類別之中。相反地,要注意你該如何進行管理,以及你要如何付費。這將會讓你從戰術決定前進到戰略規劃和實施。

@原文出處:What is really driving the massive growth of cloud computing?

你在雲端中需要什麼樣的安全功能?這是控制的問題

讓我們從了解你在雲端做些什麼開始。你會部署處理敏感資料的應用程式?你想要測試新的網頁應用程式?你會跟內部環境傳輸交換資料?你會提供應用程式給客戶、合作夥伴、甚至是全球各地的員工?你的應用程式必須24 × 7無休的運作?

Cloud5

哪裡有風險,哪裡就需要被加以管理和控制,以確保你有保護好你的資料、應用程式和系統以對付攻擊,不管你所用的是什麼樣的環境 – 雲端,你自己的資料中心或介於兩者之間。

正如之前的文章裡提過,AWS已經設立高標準來確保落實適當的控制以保護實體基礎設施和虛擬機管理程式。然而,你所部署在這環境內的資料、應用程式和虛擬機器 – 以AWS的觀點 – 是你自己的責任。你需要確保你有實施適當的控制。這是什麼意思呢 – 你需要什麼樣的控制?

 

讓我們從你的主機和網路開始…

當部署虛擬機器時,建議要利用所提供的工具,像是AWS安全群組來做基本的安全功能,之後再加入額外的控制。

對於你的主機和網路,我們建議你落實控制以:

 

  • 限制進出你環境的通訊連線,只允許必要連線進行
  • 確保你對於漏洞攻擊有不間斷的保護,即使是在你的修補程式部署週期之間
  • 當系統組件改變時加以識別,判斷是否有意義
  • 保護對抗惡意軟體和惡意網址

 

為了能夠涵蓋這些要求,你需要部署一些安全控制:

 

  • 通訊控制:限制進出你環境的通訊連線,針對虛擬機器來實施鎖好你的防火牆策略,只在必要時才開啟,同時也防止進出的通訊連線。尋找有提供記錄和警報功能的防火牆,可以更加容易地進行故障排除和管理。
  • 一致的系統防護:隨著組織要求關鍵企業應用程式要持續的改變,往往讓已知系統漏洞的修補工作很難跟上。這也是為什麼可以對抗可能漏洞攻擊的入侵防禦功能很重要了。一個很重要的入侵防禦功能是可以自動地確保正確的保護被實施,甚至在你有機會修補之前。
  • 系統變化偵測:系統組件變化的原因可能有很多 – 許多都不是因為你的系統被攻擊而造成。話雖如此,監視這些系統變化也對你的安全控制變得越來越關鍵。它不僅可以提供問題的早期跡象,事實上也是各種合規標準,如PCI DSS所要求的。
  • 惡意軟體防護:最後,包含網頁信譽評比技術的防毒軟體不僅可以對抗病毒,也會對已知惡意網址加以偵測和防護。 繼續閱讀

趨勢科技展示全方位的 Amazon Web Services 安全防護方案

簡化雲端安全防護的創新產品,符合 AWS 共同安全模型

【2013 年 11 月 19 日台北訊】在今年 AWS re:Invent 2013 大會上,趨勢科技 (東京證券交易所股票代碼:4704) 展出一套全方位、自動化且專為 Amazon Web Services (AWS)  部署環境設計的安全防護方案,包含多項重要防護功能:惡意程式防護、防火牆、入侵防護、加密以及應用程式掃瞄。這套最佳化的解決方案能讓企業履行 AWS 共同安全模型當中的義務,維護企業應用程式與資料的安全。此外,其獨特的授權模式也能配合企業採購 AWS 運算實體 (AWS Instance) 的方式,徹底改變雲端服務安全防護的購買方式。

這套榮獲第一名評價[1] 的雲端安全防護是以趨勢科技的 Deep Security 平台為基礎,能保護雲端運算實體、網站應用程式以及敏感的企業資料。有別於針對單一功能 (如惡意程式防護) 的傳統解決方案,Deep Security 平台擁有全方位的能力,可根據每一位客戶的需求而輕鬆部署。趨勢科技不僅是 AWS 高級技術合作夥伴 (Advanced Technology Partner),更是唯一參加全新 AWS 試用計劃 (Test Drive Program) 的資訊安全廠商,能讓客戶在幾分鐘之內為其部署環境評估各種安全防護功能,而且免費。

Vayon Insurance Solution Provider 的雲端專案經理 Renato Giuliana 表示:「由於我們某家大客戶的要求,我們必須在很短的時間之內完成 PCI-DSS 認證。我們選擇了趨勢科技 SecureCloud™ 服務和 Deep Security 方案,因為有了這些解決方案,我們就能以模組化且完全整合的方式達成各項 PCI-DSS 規範。除此之外,該還有專案建置迅速以及價格容易負擔的特點。」

AWS 的共同安全模型針對部署環境制定了清楚的安全責任歸屬。AWS 負責維護基礎架構的安全,而作業系統 (含) 以上部分的防護責任,則由使用者承擔。趨勢科技解決方案提供了各種功能來確保 AWS 部署環境的安全,包括:

 作業系統

不論採用服務方式或採用企業內部署,Deep Security 都能守護實體與虛擬伺服器以及公有和私有雲端部署環境。它可配合 AWS 的伸縮性和彈性,完整支援主流作業系統,並且針對動作導向描述資料 (Action-based Metadata) 自動化擴充而最佳化。

 網站應用程式

應用程式漏洞掃瞄與專家誤判消除,還有網站信譽評等管理,能為任何網站應用程式提供全面的應用程式安全檢視。

 資料

精密的加密與金鑰管理功能,專為 AWS 最佳化,可在私有雲和公有雲部署環境之間平順地維護資料安全。此外,趨勢科技還利用無限制的 SSL 憑證為傳輸中的資料保護提供了突破性的作法,讓客戶不必花費額外成本就能部署適當的防護。

 定價

趨勢科技是唯一能讓企業配合其 AWS 雲端服務採購方式來採購防護方案的資訊安全廠商。企業有兩種採購防護的方式:(1) 預先採購,如同採購預留的運算實體一樣;(2) 用多少算多少,如同隨選運算實體一樣,此方式只針對實際使用部分計費,對於企業IT營運規劃更具彈性。本服務預計於2014年第二季在亞太區正式推出 。

Nunnikhoven 表示:「我們很高興能成為 AWS 商業夥伴的一分子,並且堅信趨勢科技的雲端安全防護方案是最棒的。我們的團隊創造了一套完整的方法來協助您達成您在 AWS 雲端的安全責任。我們在產品當中融入環境感知能力,讓您輕輕鬆鬆就能部署符合您企業需求的安全防護,讓防護更穩定,協助您將安全防護自動化,這樣您就能專注在自己的事業上。」

 

進一步了解:https://www.trendmicro.com/us/business/cloud-data/index.html


[1] Experton Group – 「2013 年雲端廠商評比」(Cloud Vendor Benchmark) 報告

繼續閱讀