意見領袖討論今日網路防護的演進、現況及未來。在介紹完過去的歷史及重要觀念之後,順便告訴讀者為何資安團隊需要多層式雲端內防護。
在最近之前,網路防禦不僅似乎繞了一圈又回到了原點,而且還讓我們倒退到過去。在網路層次防範攻擊,一開始只能做到偵測,當偵測到惡意活動時,必須靠人工採取行動來降低損害,而且回應速度得夠快才行。此時防範的重點在於限制哪些流量可以通過閘道與防火牆,然後再交由 IDS (入侵偵測) 來偵測惡意活動。這聽起來似乎沒有很強,確實如此,所以後來才會進步到所謂的 IPS (入侵防護)。既然可以偵測到攻擊流量,那為何不乾脆加以攔截?
趨勢科技非常開心能夠推出新的產品:Trend Micro Cloud One™ – Conformity 來強化 Azure 雲端資源的防護。
每當有新產品發表,我們總是有很多新的訊息要跟大家分享,因此我們決定專訪原 Cloud Conformity 公司創辦人 Mike Rahmati 來跟大家分享他的看法。Mike 骨子裡是一個科技人,對於透過雲端、開放原始碼以及靈活、精實原則來提供動態容錯、成長及擴充的軟體系統開發擁有輝煌的成就。在專訪中,我們請 Mike 說明新產品的功能如何協助客戶預防 Azure 上的組態設定錯誤,並且輕鬆矯正這些錯誤。讓我們來仔細瞧瞧。
企業在 Azure 或 Amazon Web Services (AWS) 上開發應用程式或將應用程式移轉至這些平台時,經常會遇到哪些問題?
最常見的問題就是市場上可選擇的工具和雲端服務很多,而企業所要的工具必須能夠整合至雲端內來提供可視性。影子 IT (Shadow IT) 的問題,還有業務單位自行註冊雲端帳號,對 IT 部門來說是一項管理上的真實挑戰。法規遵循、資安及企業治理方面的管控,對於全心全意投入創新的業務單位來說,並非是他們最關心的事。這就是為何您應該擁有一套強大的工具來提供您雲端環境的可視性,告訴您哪裡有潛在的資安與法規遵循風險。
繼續閱讀資安問題經常是因為應用程式未獲得充分的檢查與防護就貿然部署所導致。那麼,應用程式最大的資安風險是什麼?企業又該如何確保 DevOps 流程的安全?
為了因應產業變化的腳步,數位轉型是企業必經的重要過程。隨著全球因冠狀病毒疫情而陷入停滯,這樣的轉型不僅必要,也更加迫切。當企業開始拓展自己的數位足跡、打造現代化流程讓員工從任何地點都能隨時工作,企業也應思考如何在滿足客戶需求的同時,也簡化程式變更的流程。這股數位轉型趨勢在近幾個月來尤其明顯,各領域應用程式的使用率都明顯暴增 。
應用程式現在已扮演一個不可或缺的角色,許多企業和使用者不論在工作、教育、娛樂、零售及其他用途,都得仰賴各式各樣的應用程式。在這樣的情況下,應用程式開發團隊將扮演著關鍵的角色,不僅要確保應用程式能為使用者提供絕佳的便利性和效能,更要防範駭客攻擊。因為駭客隨時都在尋找弱點、漏洞、組態設定錯誤以及其他可利用的資安破口來發動惡意攻擊。假使企業為了保住業績和營收而急於讓應用程式上線,那麼資安的風險將更加令人擔憂。前一陣子推出的接觸者追蹤應用程式所引發的隱私權問題,就是應用程式開發和部署操之過急而帶來危險的最佳範例。今年五月,美國華盛頓郵報 (The Washington Post) 報導,接觸者追蹤應用程式雖然對政府單位與研究機構在控制疫情擴散方面很有幫助,但卻可能不小心讓駭客取得新冠肺炎 (Covid-19) 確診者的敏感資料。
不安全的應用程式所帶來的嚴重風險,突顯出應用程式防護以及在設計、開發、部署等階段發掘、修正及強化應用程式安全的必要性。本文探討應用程式可能面臨的資安風險與威脅,以及企業該如何將網路資安防護融入 DevOps 流程當中。
應用程式複雜性日益攀升,再加上第三方程式庫及其他問題,讓應用程式更容易遭遇資安風險和威脅。根據 2020 年一份 Forrester 報告指出,資安專業人員認為絕大部分外部攻擊都是瞄準軟體漏洞或網站應用程式。同一份報告也指出,開放原始碼軟體是應用程式安全的一大隱憂,開放原始碼資安漏洞自去年至今已成長 50%。
雲端開發人員的資安責任為何?他們該如何維護雲端內的安全?這份指南說明雲端資安的一些重要觀念,以及有哪些領域需要彈性、全方位的資安解決方案來加以保護。
全球企業都在經歷一場所謂的數位轉型革命,他們紛紛開始採用、移轉、並逐漸熟悉當今各種複雜的雲端式技術。
雲端運算環境的資安管理對於資安長 (CSO) 與雲端 IT 團隊或系統管理員來說,可能相當沉重,原因就在於雲端服務的易用性、彈性與組態可輕易調整。雲端系統管理員必須對其企業的雲端使用方式有深入的掌握,才能設定適當的資安政策和標準,並妥善安排政策執行者與責任歸屬。
雖然傳統的網路防護技術和機制,無法輕鬆無縫移轉至雲端,但網路系統管理員所面臨的資安問題卻大致相同:如何防範網路遭到未經授權的存取並避免資料外洩?如何確保運轉率?如何將通訊加密以及認證雲端使用者?如何輕鬆偵測威脅並發掘自家開發的應用程式當中的漏洞?
基本上,「雲端本身的安全」與「雲端內的安全」這兩個是不同的概念,最早提出這個看法的是 Amazon,其目的是要釐清廠商與客戶之間在雲端安全與法規遵循上各自應該分擔的責任。雲端廠商該負責的是雲端服務的底層硬體與網路基礎架構,而客戶則是根據其所採用服務來決定他們須直接承擔多少程度的資安責任。
「當您與硬體越近,您承擔的責任就越大。」— Mark Nunnikhoven
副總裁,雲端研究,趨勢科技
更確切一點,如同趨勢科技在「雲端是什麼與用來做什麼」(The Cloud: What It Is and What It’s For) 一文當中所說,不同的雲端服務型態:基礎架構服務 (IaaS)、平台服務 (PaaS) 或軟體服務 (SaaS),決定了哪些元素 (從雲端底層硬體基礎架構一路到雲端上產生、處理及儲存的資料) 該由廠商或客戶來負起保護的責任。
譬如,在一個 PaaS 環境中 (如 Google App Engine、Microsoft Azure PaaS 或 Amazon Web Services Lambda),開發人員可採購一些資源然後在上面開發、測試、執行各種軟體。在這樣的環境下,使用者該負責的大致上就是應用程式和資料,而雲端廠商該負責的是確保容器基礎架構與作業系統的安全。不過,如前面所講的,視客戶採用的服務而定,其責任也會有不同程度的差別,且差異更為細膩。
雲端本身的安全是雲端廠商的責任,並且透過合約規範和義務來確保,例如廠商與客戶之間的服務等級協議 (SLA) 就是一例。此外,還有一些效能指標,如:運轉率與延遲、問題解決速度、內建的資安功能,甚至是效能不彰的罰款,通常都有一套雙方都接受的標準。
所以,對於廣大的雲端使用者來說,這份指南所要探討的其實是「雲端內的安全」,包括:挑戰、威脅等等。
企業或許正在將某些需求移轉至雲端,或者正在開始全面雲端化 (也就是「雲端原生」),也或許已逐漸掌握雲端資安策略的精隨。但不論企業正處在雲端轉型的哪個階段,雲端系統管理員所需執行的資安作業大同小異,例如:漏洞管理、偵測網路重要事件、回應事件、蒐集威脅情報並採取行動,以及讓各個環節遵從相關的產業標準。
雲端部署所要面對的基礎架構有別於企業內網路。在雲端裡,服務的多元化使得企業很難找到一套連貫的資安解決方案。不論任何時候,雲端系統管理員所面對的都是一個混合式環境。但讓事情複雜的是,雲端運算的風險取決於每個雲端部署策略本身。而這又取決於雲端用戶的個別需求以及其可接受或願意承擔的風險。這正是為何風險評估是一項重要練習,不能只是一味照抄現成的最佳實務原則或法規。但法規還是可以當成一項基準或架構,讓您在評估風險時能考慮到一些真正的問題。
雲端訂閱的方便性讓企業的腳步加快,使得採購單位的決策突然不受 IT 部門管轄。然而,IT 部門卻仍必須負責保護雲端上開發的應用程式。因此 IT 的挑戰變成如何在不影響企業腳步與程式開發效率的情況下,確實掌握並保護雲端內的所有活動。
根據趨勢科技一份針對雲端建置最常見的資安陷阱所做的研究「解構錯綜複雜的雲端資安威脅」(Untangling the Web of Cloud Security Threats) 指出,組態設定錯誤依然是雲端客戶最常出現的資安弱點。這意味著,當雲端客戶在設定自己的雲端運算實體或服務時,經常忽略了一些重要設定,或者因修改設定而帶來了風險。
「您雲端內的資料與應用程式安全完全掌握在您自己手中,今日已有足夠的工具來讓您花費大量 IT 經費建置的雲端環境至少與您舊式的非雲端系統一樣安全。」— Greg Young
網路資安副總裁,趨勢科技
駭客會試圖搜尋這些組態設定錯誤,然後利用這些錯誤來發動各式各樣的惡意攻擊,包括一些高度針對性、鎖定特定機構的網路攻擊 (不論該機構是他們的最後目標或者只是他們入侵其他網路的跳板) 以及一些純粹亂槍打鳥的攻擊。除了組態設定錯誤之外,駭客還可能利用偷來的登入憑證、不肖的容器,以及任何一個軟體層的潛在漏洞來駭入雲端部署環境。
實際的攻擊案例已經為企業帶來了財務或其他損失,以下是一些可能對企業造成影響的雲端網路攻擊:
當雲端開發人員在規劃其雲端需求時,應同時趁這機會將防護一開始就內建至雲端部署當中,如此才能避免前面所提的各種威脅和風險。藉由確保每個相關環節的安全,IT 團隊就能從容地應付當前及與未來的雲端環境。而這也是 Gartner 2020 年雲端工作負載防護平台市場指南 (Market Guide for Cloud Workload Protection Platforms) 報告中的建議。
網路流量檢查是資安很重要的一道防線,這道防線不僅能防範零時差攻擊與已知漏洞攻擊,還能提供虛擬修補防護。雲端上的防火牆有別於傳統的防火牆,因為實務上的挑戰主要還是要在不干擾網路連線或現有應用程式的情況下部署防火牆,不論部署在虛擬私有雲內,或部署在雲端網路上。
資安的詞彙與典範會隨著人們認為需要保護的元件而改變,所謂的雲端「工作負載」,是指一個雲端運算實體所負責的功能或工作。對雲端系統管理員來說,妥善保護工作負載以防範漏洞攻擊、惡意程式以及未經授權的變更,是一項艱難挑戰,因為這些工作負載可能位於伺服器、雲端或容器環境當中。工作負載可以隨時視需求而動態啟動,但每一個運算實體都必須能被雲端系統管理員所掌握,並符合資安政策的要求。
近年來最夯的雲端運算服務軟體單元,就是所謂的「容器」。使用容器可確保軟體不論實際所處的運算環境為何都能可靠的執行,因為當程式的某些程式碼、工具、系統程式庫,甚至所需的軟體版本都有自己的要求時,就很難複製出相同的環境。
在軟體開發階段就將資安融入,對開發人員與營運團隊來說尤其重要,因為雲端優先的應用程式開發正逐漸崛起。這意味著,容器必須先經過掃瞄來確定容器內沒有惡意程式、漏洞 (連同相依的軟體在內)、機密資料或金鑰,甚至是法規遵循問題。而且能越早在軟體建構流程當中執行這些資安檢查越好,最好是融入持續整合/持續交付 (CI/CD) 的工作流程當中。
傳統的資安防護無法部署在某些無伺服器 (Serverless) 或容器平台內,但應用程式本身就像其他環節一樣必須受到嚴密防護,不論應用程式簡單或複雜。對許多企業來說,能夠快速而有效率地開發與部署新的應用程式,是他們邁向雲端主要動力。然而這些應用程式卻是威脅入侵網站的重要入口,駭客可能的手法包括:程式碼注入、自動化攻擊、遠端指令執行等等。因此一旦發生攻擊事件,雲端系統管理員必須要能深入掌握攻擊的詳細狀況。
企業邁向雲端的主要 (或部分) 原因,是希望能減輕企業內儲存的壓力。但雲端檔案或物件儲存很可能成為感染來源,如果有任何已知的惡意檔案被上傳至雲端的話。因此,企業必須要能掃瞄所有類型的檔案,不論檔案大小。而且最理想的方式是在檔案儲存之前就預先掃瞄,以降低其他使用者存取和執行到惡意檔案的風險 (如果事後才掃瞄的話)。
一些像一般資料保護規則 General Data Protection Regulation (GDPR) 的資料隱私法規與支付卡產業資料安全標準 (PCI-DSS) 等產業標準,還有健康保險可攜性與責任法案 (HIPAA) 等立法,對於必須蒐集、處理、儲存資料 (尤其在雲端內) 的企業來說,有著攸關企業生存的影響。雲端系統管理員必須在法規遵循要求與雲端靈活性效益之間求取平衡。企業應借助一些防護技術來確保其部署環境符合資安最佳實務原則,若不這麼做,企業很可能在不知情的狀況下違反了法規而遭致罰鍰,而這些罰鍰很容易就讓好不容易省下的成本徹底被抹煞。
由於牽涉前述這麼多的環節,因此企業在思考自己的雲端策略時,務必設法讓一些必要的防護技術盡可能簡化。從惡意程式防護與入侵防護、到漏洞管理與端點偵測及回應,整套資安防護解決方案必須盡量減少平常 IT 人員在執行分析時所必須用到的工具、儀表板、介面等等。同時,還必須要能以視覺化方式忠實呈現企業整體雲端營運環境的抽象網路邊界,不論某項活動是否由 IT 所批准 (例如某名開發人員一時興起所撰寫的工具)。
趨勢科技可協助 DevOps 團隊利用Hybrid Cloud Security(混合雲防護) 混合雲防護解決方案建構安全、快速交付、隨處執行的應用程式。這套解決方案提供了強大、簡化、自動化的防護來讓企業將防護融入 DevOps 流程當中,藉由多重的 XGen 威脅防禦技巧來保障實體、虛擬及雲端工作負載的安全。透過 Cloud OneTM SaaS 服務平台讓企業從單一介面保護整個混合雲環境,擁有即時的資安防護,包含以下服務:Network Security、Workload Security、Container Security、Application Security、File Storage Security 以及 Conformity。
對於正在尋找執行時期工作負載、容器映像以及檔案與物件儲存防護軟體的企業,Deep Security與 Deep Security Smart Check 的搭配,可讓您在開發流程當中隨時掃瞄工作負載與容器映像是否含有惡意程式及漏洞,在工作負載與容器映像部署之前預先防範威脅。
雲端原生運算是一種在雲端內建構及執行可擴充式應用程式的一種軟體開發方法,不論在公有雲、私有雲、企業內或混合雲等環境,其結合了開放原始碼與非開放原始碼兩種軟體來部署應用程式,如包裝在個別容器中的微服務 (microservice) 即是一例。容器 (如 Docker 容器) 會將所有必要的軟體和應用程式包裝到隔離獨立的處理程序內部。由於企業經常跨多台主機執行多個容器,因此還需要使用 Kubernetes 這類的容器協調系統,並透過持續整合/持續交付 (CI/CD) 工具,遵循 DevOps 方法來管理和部署。最終,雲端原生技術將使企業能徹底發揮雲端資源的效益,不僅能減輕負擔、加快反應速度,而且管理起來也更輕鬆。
如同任何仰賴各種環環相扣的工具與平台的技術一樣,雲端原生運算環境的資安扮演著相當重要的角色。如果有什麼是資安專家們一致認同的看法,那就是:今日沒有任何現代化的複雜軟體系統是「完全無法駭入」的,沒有 100% 無法被滲透的系統、裝置或環境。也因此,才會衍生出一種所謂「縱深防禦」的資安防禦方法,這是一個從軍事領域借用到網路資安領域的概念。
縱深防禦的方法採用多層式控管,在企業內各個不同環節設置資安屏障來提供多重保障,以防萬一某個環節失效或遭駭,還有其他環節可提供保護。雲端原生防護就是採用這樣的方式,將雲端原生系統的防護策略劃分成如下圖「雲端原生防護 4C」所示的四個不同層次。
