你是否會遷移到雲端運算已經不再是個問題,問題只是何時會發生。而是否知道自己該肩負哪些安全責任,會決定這趟雲端之旅會是平安順利還是充滿顛簸。
雖然有許多事情需要加以考慮,但其中特別重要的是了解在涉及雲端內應用程式和資料的安全性時,你該負什麼責任。這些年來,趨勢科技一直致力於協助客戶了解他們在雲端的共享安全責任,最終能夠在混合式雲端環境保護敏感的企業資源。
在此基礎上,我很高興能夠分享這篇微軟關於雲端運算共享責任的最新報告,這對於正在考慮或已經開始轉移到雲端環境的客戶來說是絕佳的資源。微軟清楚地概述客戶和雲端服務供應商的責任,無論是在On-Prem(企業內部部署),IaaS(基礎設施即服務)、PaaS(平台即服務)或SaaS(軟體即服務)環境的各種不同情境:
資料來源:雲端客戶的共同責任,微軟,2016年3月 繼續閱讀
Windows XP在去年停止支援,現在則是另一套作業系統停止支援的時候了 –2015年7月14日輪到了Windows Server 2003,這被廣泛部署的微軟作業系統即將終止支援,自其2003年4月推出至今已經過了相當長的時間。估計仍有260萬到1100萬的Windows Server 2003使用者仍在活躍使用中。
但這次停止支援會帶來另一全新的挑戰。跟Windows XP不同,Windows Server 2003是伺服器作業系統。不像Windows XP被用在家用電腦和企業工作站/筆記型電腦上,Windows 2003為企業伺服器帶來更深層次的攻擊面。Windows Server 2003(仍然)被廣泛地用在核心功能上,像是目錄伺服器、檔案伺服器、DNS伺服器和電子郵件伺服器。組織依靠它來執行關鍵應用程式和支援內部服務,像是Active Directory、檔案共享和建置內部網站。
當Windows Server 2003支援終止,不會有機制將它保持在最新狀態,這對防護安全問題來說很關鍵。一般來說,作業系統需要透過定期支援來解決安全問題,包括:
了解風險
作業系統終止支援(特別對Windows Server 2003來說),代表你IT部門開始有許多事情好做。組織需要準備應對缺少的安全更新、合規性問題、對抗惡意軟體及其他非安全性漏洞。你不再會收到安全問題的修補程式或弱點通知。當出現會影響你伺服器的漏洞時,你將不再知道。
在推出之際,Windows 2003要比Windows 2000更加安全。而隨著時間過去,很明顯地它也有著自己的一串漏洞。CVE清楚地指出使用Windows Server 2003的企業要面對接近403個漏洞,其中有27%是遠端程式碼執行漏洞。沒有通知來幫忙監控和衡量這些漏洞所帶來的風險,可能會讓你的伺服器安全開了一個大洞。 繼續閱讀
五月中,Microsoft 針對 Microsoft Windows Server 2003(WS 2003)一口氣釋出了七份安全公告。現在,這個長壽的伺服器作業系統只剩兩次週二定期性更新:6 月 9 日 (二) 以及 7 月 14 日 (二)。過了 2015 年 7 月 14 日,WS 2003終止支援後,未來 Windows Server 2003 將不再有任何安全更新。
就實際而言,這意味著,若您 2015 年 7 月 15 日起還在使用 Windows Server 2003 的話,未來當 Windows Server 2003 發現任何新的漏洞時,您將立即面臨危險,因為從那一天起,Windows Server 2003 將不再釋出任何安全更新。
這並非第一次Microsoft 長壽的作業系統面臨終止支援。就在一年前,Windows XP 也終於在歷經 13 年半的日子之後劃下句點。雖然 Windows Server 2003 不像 Windows XP 如此長壽,但也快 12 歲了,其伺服器端面臨的問題也和 Windows XP 用戶端一樣嚴重。
正如 Windows XP 當年終止支援前夕仍有大量的用戶一樣,即使現在我們也還能看到大量企業正在使用 Windows Server 2003。根據 The Enterprise Strategy Group 最近的一項調查顯示,82% 的受訪者其企業內仍有一些 Windows Server 2003 存在。這些受訪者當中有 25% 表示,針對即將終止支援這件事的打算就是「在缺乏支援和維護的情況下繼續使用 Windows Server 2003」。
使用缺乏支援的作業系統,當視為營運上的一項漏洞,因為這基本上是個危險又不智的舉動。 繼續閱讀
如果你跟其他成千上萬公司一樣正在使用著 Windows Server 2003( WS 2003)。你的業務運作很可能正依賴著它。但當微軟在7月14日停止對此平台的支援終止支援( WS 2003 EOS)後,會對你重要的關鍵系統所造成的潛在影響尚未明瞭。但至少我們預期黑帽駭客會研究新的漏洞攻擊,針對仍然繼續使用此平台的企業用戶。
所有的公司最終都必須轉移到新版伺服器上,但對於無法趕及七月期限的公司來說,趨勢科技 Deep Security 可以保護你的組織,讓關鍵系統繼續平順地運行。在你計畫轉移到較新平台(如微軟的Windows Server 2012或Azure)時,趨勢科技可以幫你保護還在使用中的Windows 2003環境 — 而當你轉移到新平臺後,我們還可以繼續保護新的環境。趨勢科技Deep Security 會在2015年7月14日終止支援期限後繼續提供Windows 2003支援和防護,我們讓你可以透過單一平台來保護現有和新的伺服器。
倍增的威脅
如果過去幾個月帶給我們任何教訓,那就是IT團隊必須將任何運行中的軟體保持在最新版本。如 Shellshock、Heartbleed心淌血漏洞 和 FREAK 等知名漏洞可能會嚴重影響破壞公司對安全性所做的努力,也將敏感性資料置於危險之地。在7月14日後仍然使用Windows Server 2003的公司所要面對的問題是,微軟不再發布安全性更新以保護系統免於此類漏洞。 繼續閱讀
