【2022 年 7 月 12 日台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 宣布該公司已通過 Amazon Web Service (AWS) 醫療保健能力 (Healthcare Competency) 認證,這是繼趨勢科技榮獲超過 15 項 AWS 雲端安全解決方案能力及頭銜後又再次獲得新的認證。
身為 AWS 進階技術合作夥伴 (Advanced Technology Partner),趨勢科技提供簡易、全方位且專為採用 AWS 的企業而設計的資安解決方案。
醫療機構的關鍵營運及病患的持續照護,全都仰賴醫療機構能安全地保護高機敏的個人資料。根據 Forrester Research 指出:「醫療機構不僅現在必須強化資安,未來更須持續改善。一些專門瞄準醫療機構 (HCO) 的勒索病毒、內部威脅、惡意殭屍網路、DDoS 攻擊、魚叉式網路釣魚郵件等等,對原本就已負擔沉重的醫療體系帶來嚴重衝擊註一。」
企業正以前所未有的速度來投資雲端基礎設施和應用程式,好在疫情爆發期間不僅能夠生存下去,還可以更加發展。但是數位化的擴張也擴大了公司的受攻擊面。那麼雲端安全的秘訣是什麼?我們邀請了眾多趨勢科技專家來幫助你制定致勝的策略。
Mark Nunnikhoven(雲端研究副總)
擁抱變化。
資安團隊一直在救火,尤其是在當下,所以不願照業務需要的速度擁抱新的技術。同時,資安團隊也急需減少工作量,所以重複使用相同作法對他們來說更有效率。然而這種態度最終會阻礙企業發揮雲端技術真正的潛力。最終還會因為舊技術與雲端環境動態需求的脫節而導致更糟糕的安全結果。
Jon Clay(全球資安威脅溝通總監):
教育
我們在技術上所面臨的最大挑戰之一是進步的速度。儘管這能夠推動業務創新並改善我們的日常生活,但也可能需要付出一定的代價,也就是資安團隊需要花費額外時間來理解技術以及它可能會如何被攻擊。今日的雲端運算就是如此。IT團隊通常缺乏如何有效部署和保護雲端環境的培訓和知識。
設定不當是駭客能夠入侵雲端基礎設施的最大原因之一。為了改善這狀況,企業需要在部署任何新環境前,先對員工進行雲端技術的教育訓練。並且隨著技術的不停發展,要確保員工持續地接受訓練。
Bill Malik(基礎設施策略副總):
基於安全的設計。
繼續閱讀意見領袖討論今日網路防護的演進、現況及未來。在介紹完過去的歷史及重要觀念之後,順便告訴讀者為何資安團隊需要多層式雲端內防護。
在最近之前,網路防禦不僅似乎繞了一圈又回到了原點,而且還讓我們倒退到過去。在網路層次防範攻擊,一開始只能做到偵測,當偵測到惡意活動時,必須靠人工採取行動來降低損害,而且回應速度得夠快才行。此時防範的重點在於限制哪些流量可以通過閘道與防火牆,然後再交由 IDS (入侵偵測) 來偵測惡意活動。這聽起來似乎沒有很強,確實如此,所以後來才會進步到所謂的 IPS (入侵防護)。既然可以偵測到攻擊流量,那為何不乾脆加以攔截?
受新冠狀病毒(COVID-19,俗稱武漢肺炎) 的影響,全球企業都急於將資源和基礎架構移轉到雲端,而這也使得企業的受攻擊面從企業內部轉移到了雲端。
受 Covid-19 疫情的影響,全球企業都急於將資源和基礎架構移轉到雲端,而這也使得企業的受攻擊面從企業內部轉移到了雲端。然而急就章的同時,卻也帶來了一些 IT 資安部門從未面對過的受攻擊面。雖然 IT 資安部門已經知道如何保護企業內 DevOps 團隊的應用程式開發與發布作業,甚至是將準備上線的服務和容器發布到雲端。但當整個應用程式建構流程都全部移轉至雲端時,資安團隊卻不一定了解相關的資安風險。
最近出現了一個新型的 Linux 惡意程式叫作「DOKI」,它會攻擊各主要雲端廠商對外公開的 Docker API。駭客使用一個之前發現的漏洞攻擊技巧來入侵容器環境,但有關 DOKI 惡意程式的文獻記載卻是直到最近出現。
繼續閱讀雲端開發人員的資安責任為何?他們該如何維護雲端內的安全?這份指南說明雲端資安的一些重要觀念,以及有哪些領域需要彈性、全方位的資安解決方案來加以保護。
全球企業都在經歷一場所謂的數位轉型革命,他們紛紛開始採用、移轉、並逐漸熟悉當今各種複雜的雲端式技術。
雲端運算環境的資安管理對於資安長 (CSO) 與雲端 IT 團隊或系統管理員來說,可能相當沉重,原因就在於雲端服務的易用性、彈性與組態可輕易調整。雲端系統管理員必須對其企業的雲端使用方式有深入的掌握,才能設定適當的資安政策和標準,並妥善安排政策執行者與責任歸屬。
雖然傳統的網路防護技術和機制,無法輕鬆無縫移轉至雲端,但網路系統管理員所面臨的資安問題卻大致相同:如何防範網路遭到未經授權的存取並避免資料外洩?如何確保運轉率?如何將通訊加密以及認證雲端使用者?如何輕鬆偵測威脅並發掘自家開發的應用程式當中的漏洞?
基本上,「雲端本身的安全」與「雲端內的安全」這兩個是不同的概念,最早提出這個看法的是 Amazon,其目的是要釐清廠商與客戶之間在雲端安全與法規遵循上各自應該分擔的責任。雲端廠商該負責的是雲端服務的底層硬體與網路基礎架構,而客戶則是根據其所採用服務來決定他們須直接承擔多少程度的資安責任。
「當您與硬體越近,您承擔的責任就越大。」— Mark Nunnikhoven
副總裁,雲端研究,趨勢科技
更確切一點,如同趨勢科技在「雲端是什麼與用來做什麼」(The Cloud: What It Is and What It’s For) 一文當中所說,不同的雲端服務型態:基礎架構服務 (IaaS)、平台服務 (PaaS) 或軟體服務 (SaaS),決定了哪些元素 (從雲端底層硬體基礎架構一路到雲端上產生、處理及儲存的資料) 該由廠商或客戶來負起保護的責任。
譬如,在一個 PaaS 環境中 (如 Google App Engine、Microsoft Azure PaaS 或 Amazon Web Services Lambda),開發人員可採購一些資源然後在上面開發、測試、執行各種軟體。在這樣的環境下,使用者該負責的大致上就是應用程式和資料,而雲端廠商該負責的是確保容器基礎架構與作業系統的安全。不過,如前面所講的,視客戶採用的服務而定,其責任也會有不同程度的差別,且差異更為細膩。
雲端本身的安全是雲端廠商的責任,並且透過合約規範和義務來確保,例如廠商與客戶之間的服務等級協議 (SLA) 就是一例。此外,還有一些效能指標,如:運轉率與延遲、問題解決速度、內建的資安功能,甚至是效能不彰的罰款,通常都有一套雙方都接受的標準。
所以,對於廣大的雲端使用者來說,這份指南所要探討的其實是「雲端內的安全」,包括:挑戰、威脅等等。
企業或許正在將某些需求移轉至雲端,或者正在開始全面雲端化 (也就是「雲端原生」),也或許已逐漸掌握雲端資安策略的精隨。但不論企業正處在雲端轉型的哪個階段,雲端系統管理員所需執行的資安作業大同小異,例如:漏洞管理、偵測網路重要事件、回應事件、蒐集威脅情報並採取行動,以及讓各個環節遵從相關的產業標準。
雲端部署所要面對的基礎架構有別於企業內網路。在雲端裡,服務的多元化使得企業很難找到一套連貫的資安解決方案。不論任何時候,雲端系統管理員所面對的都是一個混合式環境。但讓事情複雜的是,雲端運算的風險取決於每個雲端部署策略本身。而這又取決於雲端用戶的個別需求以及其可接受或願意承擔的風險。這正是為何風險評估是一項重要練習,不能只是一味照抄現成的最佳實務原則或法規。但法規還是可以當成一項基準或架構,讓您在評估風險時能考慮到一些真正的問題。
雲端訂閱的方便性讓企業的腳步加快,使得採購單位的決策突然不受 IT 部門管轄。然而,IT 部門卻仍必須負責保護雲端上開發的應用程式。因此 IT 的挑戰變成如何在不影響企業腳步與程式開發效率的情況下,確實掌握並保護雲端內的所有活動。
根據趨勢科技一份針對雲端建置最常見的資安陷阱所做的研究「解構錯綜複雜的雲端資安威脅」(Untangling the Web of Cloud Security Threats) 指出,組態設定錯誤依然是雲端客戶最常出現的資安弱點。這意味著,當雲端客戶在設定自己的雲端運算實體或服務時,經常忽略了一些重要設定,或者因修改設定而帶來了風險。
「您雲端內的資料與應用程式安全完全掌握在您自己手中,今日已有足夠的工具來讓您花費大量 IT 經費建置的雲端環境至少與您舊式的非雲端系統一樣安全。」— Greg Young
網路資安副總裁,趨勢科技
駭客會試圖搜尋這些組態設定錯誤,然後利用這些錯誤來發動各式各樣的惡意攻擊,包括一些高度針對性、鎖定特定機構的網路攻擊 (不論該機構是他們的最後目標或者只是他們入侵其他網路的跳板) 以及一些純粹亂槍打鳥的攻擊。除了組態設定錯誤之外,駭客還可能利用偷來的登入憑證、不肖的容器,以及任何一個軟體層的潛在漏洞來駭入雲端部署環境。
實際的攻擊案例已經為企業帶來了財務或其他損失,以下是一些可能對企業造成影響的雲端網路攻擊:
當雲端開發人員在規劃其雲端需求時,應同時趁這機會將防護一開始就內建至雲端部署當中,如此才能避免前面所提的各種威脅和風險。藉由確保每個相關環節的安全,IT 團隊就能從容地應付當前及與未來的雲端環境。而這也是 Gartner 2020 年雲端工作負載防護平台市場指南 (Market Guide for Cloud Workload Protection Platforms) 報告中的建議。
網路流量檢查是資安很重要的一道防線,這道防線不僅能防範零時差攻擊與已知漏洞攻擊,還能提供虛擬修補防護。雲端上的防火牆有別於傳統的防火牆,因為實務上的挑戰主要還是要在不干擾網路連線或現有應用程式的情況下部署防火牆,不論部署在虛擬私有雲內,或部署在雲端網路上。
資安的詞彙與典範會隨著人們認為需要保護的元件而改變,所謂的雲端「工作負載」,是指一個雲端運算實體所負責的功能或工作。對雲端系統管理員來說,妥善保護工作負載以防範漏洞攻擊、惡意程式以及未經授權的變更,是一項艱難挑戰,因為這些工作負載可能位於伺服器、雲端或容器環境當中。工作負載可以隨時視需求而動態啟動,但每一個運算實體都必須能被雲端系統管理員所掌握,並符合資安政策的要求。
近年來最夯的雲端運算服務軟體單元,就是所謂的「容器」。使用容器可確保軟體不論實際所處的運算環境為何都能可靠的執行,因為當程式的某些程式碼、工具、系統程式庫,甚至所需的軟體版本都有自己的要求時,就很難複製出相同的環境。
在軟體開發階段就將資安融入,對開發人員與營運團隊來說尤其重要,因為雲端優先的應用程式開發正逐漸崛起。這意味著,容器必須先經過掃瞄來確定容器內沒有惡意程式、漏洞 (連同相依的軟體在內)、機密資料或金鑰,甚至是法規遵循問題。而且能越早在軟體建構流程當中執行這些資安檢查越好,最好是融入持續整合/持續交付 (CI/CD) 的工作流程當中。
傳統的資安防護無法部署在某些無伺服器 (Serverless) 或容器平台內,但應用程式本身就像其他環節一樣必須受到嚴密防護,不論應用程式簡單或複雜。對許多企業來說,能夠快速而有效率地開發與部署新的應用程式,是他們邁向雲端主要動力。然而這些應用程式卻是威脅入侵網站的重要入口,駭客可能的手法包括:程式碼注入、自動化攻擊、遠端指令執行等等。因此一旦發生攻擊事件,雲端系統管理員必須要能深入掌握攻擊的詳細狀況。
企業邁向雲端的主要 (或部分) 原因,是希望能減輕企業內儲存的壓力。但雲端檔案或物件儲存很可能成為感染來源,如果有任何已知的惡意檔案被上傳至雲端的話。因此,企業必須要能掃瞄所有類型的檔案,不論檔案大小。而且最理想的方式是在檔案儲存之前就預先掃瞄,以降低其他使用者存取和執行到惡意檔案的風險 (如果事後才掃瞄的話)。
一些像一般資料保護規則 General Data Protection Regulation (GDPR) 的資料隱私法規與支付卡產業資料安全標準 (PCI-DSS) 等產業標準,還有健康保險可攜性與責任法案 (HIPAA) 等立法,對於必須蒐集、處理、儲存資料 (尤其在雲端內) 的企業來說,有著攸關企業生存的影響。雲端系統管理員必須在法規遵循要求與雲端靈活性效益之間求取平衡。企業應借助一些防護技術來確保其部署環境符合資安最佳實務原則,若不這麼做,企業很可能在不知情的狀況下違反了法規而遭致罰鍰,而這些罰鍰很容易就讓好不容易省下的成本徹底被抹煞。
由於牽涉前述這麼多的環節,因此企業在思考自己的雲端策略時,務必設法讓一些必要的防護技術盡可能簡化。從惡意程式防護與入侵防護、到漏洞管理與端點偵測及回應,整套資安防護解決方案必須盡量減少平常 IT 人員在執行分析時所必須用到的工具、儀表板、介面等等。同時,還必須要能以視覺化方式忠實呈現企業整體雲端營運環境的抽象網路邊界,不論某項活動是否由 IT 所批准 (例如某名開發人員一時興起所撰寫的工具)。
趨勢科技可協助 DevOps 團隊利用Hybrid Cloud Security(混合雲防護) 混合雲防護解決方案建構安全、快速交付、隨處執行的應用程式。這套解決方案提供了強大、簡化、自動化的防護來讓企業將防護融入 DevOps 流程當中,藉由多重的 XGen 威脅防禦技巧來保障實體、虛擬及雲端工作負載的安全。透過 Cloud OneTM SaaS 服務平台讓企業從單一介面保護整個混合雲環境,擁有即時的資安防護,包含以下服務:Network Security、Workload Security、Container Security、Application Security、File Storage Security 以及 Conformity。
對於正在尋找執行時期工作負載、容器映像以及檔案與物件儲存防護軟體的企業,Deep Security與 Deep Security Smart Check 的搭配,可讓您在開發流程當中隨時掃瞄工作負載與容器映像是否含有惡意程式及漏洞,在工作負載與容器映像部署之前預先防範威脅。