務實的混合式雲端防護

天花亂墜的行銷術語很容易讓人迷惘。最近,「混合式雲端」一詞似乎越來越浮上檯面。往好處想,就目前及可預見的未來,這對絕大多數企業所面臨的狀況還算是蠻貼切的描述。

除非您公司是剛剛或最近幾個月才成立,否則您應該已經累積了一定的 IT 資產,當然這些都不是免費的。因此,您已經有一些現有投資,所以您當然希望盡可能發揮它們的最大效益。但問題是,未來顯然是雲端的時代,其動態的環境能夠加快您企業創新的腳步。

所以現實情況是,您有好一陣子必須維持同時兩種環境,直到您將原有的 IT 資產完全淘汰為止。而這就是所謂的「混合式雲端」。

準備面對混合式雲端

絕大多數企業都掉入了一個陷阱,那就是將兩種環境分開看待,然後為個別環境建立一套專門的工具和流程。其實,混合式雲端若要發揮效益,最簡單的一項原則就是:「不要做兩次工」。

但這說起來比做起來容易。企業內部署的環境,通常有許多手動的作業流程,並且經常切割成多套獨立系統。然而對雲端來說,所有流程都已內建在系統當中,並且透過自動化來管理,完全打破傳統的藩籬 (請參閱「 DevOps」一詞)。

所以,企業的目標是,不論面對哪一種環境都應該採用同一套工作流程。但不幸地,在現實當中,有些企業內系統就是必須例外處理。因為,現有的系統很多當初都不是為了自動化或整合而設計。

因此,可以的話,請盡可能減少這類例外情況。例如當您要部署一套網站伺服器時,不論是在企業內或在雲端,您團隊的作業流程應該要盡可能一致。 Continue reading “務實的混合式雲端防護”

了解你在Azure上的共享安全責任

你是否會遷移到雲端運算已經不再是個問題,問題只是何時會發生。而是否知道自己該肩負哪些安全責任,會決定這趟雲端之旅會是平安順利還是充滿顛簸。

雖然有許多事情需要加以考慮,但其中特別重要的是了解在涉及雲端內應用程式和資料的安全性時,你該負什麼責任。這些年來,趨勢科技一直致力於協助客戶了解他們在雲端的共享安全責任,最終能夠在混合式雲端環境保護敏感的企業資源。

在此基礎上,我很高興能夠分享這篇微軟關於雲端運算共享責任的最新報告,這對於正在考慮或已經開始轉移到雲端環境的客戶來說是絕佳的資源。微軟清楚地概述客戶和雲端服務供應商的責任,無論是在On-Prem(企業內部部署),IaaS(基礎設施即服務)、PaaS(平台即服務)或SaaS(軟體即服務)環境的各種不同情境:

 

資料來源:雲端客戶的共同責任,微軟,2016年3 Continue reading “了解你在Azure上的共享安全責任”

中小企業採用軟體即服務(SaaS)的安全挑戰

隨著中小企業市場的發展及競爭的日益激烈,公司會尋求各種方法來降低成本並提高員工工作效率,創造嶄新且能夠持續的商業模式以免現有客戶群不被競爭對手所蠶食,並且又能帶來新的客戶。變動快速的市場迫使企業考慮雲端解決方案。

資訊安全 CISO 企業

軟體即服務(SaaS)對你的企業來說是個正確答案嗎?也許,但這裡有些你需要考慮的事情:

做好功課。這聽起來有點蠢。但我過去交談過許多合作夥伴都是先一頭栽進軟體即服務(SaaS)而沒有充分評估運作模式。底下是一些你需要回答的問題。

  • 你的客戶是誰?他們能夠接受雲端作業嗎?
  • 你目前的成本結構是什麼?
  • 你的競爭對手在做什麼?
  • 你的IT團隊工作滿載嗎?

Continue reading “中小企業採用軟體即服務(SaaS)的安全挑戰”

雲端安全:共同責任進行中

雲端安全屬於共同責任,現在是個很好的時間點去進一步地探討這個想法,看看這個模型應用到真實環境內會如何。

Cloud5

這個模型

在我們深入探討之前,讓我們先確保彼此對於這個模型有著相同的理解。

這是個很簡單直接的模型。讓我們從安全需求無所不在這觀點開始,為了管理一次部署的安全性,我們將各種責任劃分成以下幾個領域:

  • 實體基礎架構
  • 網路基礎架構
  • 虛擬化層
  • 作業系統
  • 應用程式
  • 資料

下一步就是要確認誰該負責上述各領域的安全性:AWS(雲端服務供應商)或使用者 (使用雲端服務的人)。

根據服務的不同,「需要為該領域負責的人」也會有所不同。

這些領域的安全責任會隨著你所使用服務的類型而改變。

以使用EC2作為例子,AWS負責實體基礎架構、網路基礎結構和虛擬化層。這代表你需要負責作業系統、應用程式和資料方面的安全性。 Continue reading “雲端安全:共同責任進行中”

趨勢科技榮獲「最佳軟體即服務-資訊安全大獎」

【台北訊】趨勢科技(TSE: 4704)今天宣佈榮獲 2014 Asia Cloud Awards 中的「最佳軟體即服務—資訊安全大獎」(Best Software-as-a-Service – Security Award)。該獎項對趨勢科技Deep Security給予肯定,肯定趨勢科技在雲端資安領域內的努力及領導地位。

award 得獎

趨勢科技香港及台灣區總經理洪偉淦表示:「能夠獲頒此雲端運算服務的獎項我們感到十分榮幸。我們竭誠協助客戶在雲端及虛擬環境中對抗瞬息萬變的威脅,務求保護其機構安全,這個獎項正是對我們這份努力的認同,實在令人鼓舞。」

第二屆Asia Cloud Awards 2014致力於表揚亞太區內領先的雲端技術供應商,專家評審團成員包括企業資訊長、研究分析家及業界協會。Deep Security在以下四個範疇表現卓越,為趨勢科技贏得「最佳軟體即服務—資訊安全大獎」的殊榮。

  • 服務獨特性及創新
  • 服務穩健性及資訊安全
  • 服務能力及綜合特性
  • 市場接受度及競爭力

許多企業兼具實體及虛擬環境,並日益依賴私有雲及公共雲來提升效率。Deep Security 保護實體、虛擬與雲端伺服器免受惡意攻擊,防護機密資料與重要應用程式,協助預防資料竄改,並且讓企業遵循重要的標準與法規,例如:PCI、FISMA 與 HIPAA。此外協助企業發掘可疑的活動和行為,主動採取預防措施來確保資料中心安全。

查詢更多關於趨勢科技Deep Security平台的資訊,請瀏覽

http://www.trendmicro.tw/tw/enterprise/cloud-solutions/deep-security/index.html

雲端安全

作者:Mark Nunnikhoven(趨勢科技首席工程師)

你正在向著雲端前進,但在到達應有的高度前會先撞上一道牆。這道牆就是你組織的安全要求。幸運的是,當你了解如何在雲端安全的運作,這道牆很容易突破。

模型

我們很幸運,因為任何雲端的安全模型都是一樣的。就是共享責任模型。

大體上說,這是個非常簡單的模型。你和你的雲端服務供應商共享你所部署一切的安全責任。

 

模型本身很簡單,但應用起來可以很細微。

簡單

簡單概括此模型:

在AWS的Mark Ryland關於共享責任模型的應用講座中,他透過一個矩陣來解釋這模型,說明該模型如何根據你所使用的雲端服務類型而變化。

我喜歡簡單一點的總結:「你越接近硬體,你的責任越多。」 –出自於我的最新發言。

 

責任區域

需要防護的區域通常屬於以下幾類:

  • 實體基礎設施
  • 網路基礎設施
  • 虛擬化層
  • 作業系統
  • 應用程式
  • 資料

而在現實世界中的應用,雲端服務供應商幾乎都會負責直到且包括虛擬化層的一切。 Continue reading “雲端安全”

你的雲端之旅:保護現代化的資料中心

Cloud2

今天跟任何IT主管聊天,他們都會告訴你他們正在旅程中:從實體環境到虛擬化和雲端環境的旅程。因為沒有兩個IT環境完全相同,所以他們都在這旅程中的不同階段,但統計數字說明了一切。幾年前,Gartner預測,到了2015年,有四分之三的x86伺服器工作負載會虛擬化,這2011年的同一份報告還預測虛擬機(VM)的數量會以 38% 的年均複合增長率在2010到2015年間成長五倍。

這對大多數IT管理者來說是再清楚也不過,在削減硬體成本和用更有效、更環保及更靈活的方式來運行系統的壓力下。世界各地的組織都在虛擬化實體伺服器,來享受公共雲和私有雲的威力以及所帶來的靈活性,可擴展性和易於管理的能力。然而,當虛擬化和雲端運算簡化了一方面,它也在另一方面帶來複雜性。組織最終會在他們的現代化資料中心運行實體、虛擬和雲端的混合環境。

強行將傳統的實體機器安全帶入這複雜的混合環境將無法正常運作。採用新的方法是必要的。

勇敢新世界

虛擬環境呈現出全新的安全風險,網路犯罪分子已經被證明更加能夠利用這些新的安全漏洞。

虛擬機的本質是動態。IT主管們可以隨時根據需求來配置或取消配置,在任何需要的時候提供及時的運算資源,不管要用多久都可以。很難像傳統的IT環境一樣去持續地保持這些虛擬機更新到最新的安全修補程式。這可能代表當虛擬機休眠一段時間之後,一啟動就帶來了嚴重的安全漏洞。這些被稱為「即時啟動差距(instant-on gaps)。」

動態虛擬環境的另一個副產品是,不同信任等級的虛擬機最終常常被放在一起,帶來了VM間攻擊的風險。這在多租戶公共雲環境中尤其是這樣,在那裡,企業往往很少或根本沒有辦法決定他們的虛擬機器會跟誰一起分享基礎設施。傳統硬體型的IDS/IPS解決方案無法監控VM間的流量,可能讓組織暴露在這種攻擊下。

虛擬環境的最後一個主要問題跟資源競爭和效能有關。虛擬機的密度有時會發展到幾百台,所以如果使用傳統的安全產品時,防毒掃描或其他計劃性更新會發生在每一台機器上。由此產生的「風暴」會嚴重影響性能,同時也破壞了安全性和法規遵從工作。

現代化的解決方案

答案是投資現代化的資料中心安全性。也就是說,安全工具和產品在設計時已經考慮到虛擬和雲端環境。尋找無代理程式架構,意味著將資源密集型任務交給了虛擬設備,對抗安全「風暴」所帶來的風險。由於有虛擬修補功能,現代化的資料中心解決方案也將確保每個虛擬機都配置在完全安全的狀態,解決即時啟動差距問題。最後,找到廠商可以保證你的每一個虛擬機都防護在安全的網路內,無論身在何處 –當它們從一個虛擬機管理程式移動到另一個或到外面的公共雲時防止虛擬機間的攻擊。  Continue reading “你的雲端之旅:保護現代化的資料中心”

雲端讓資料外洩的機率和成本越來越高

資料外洩一直是企業必須面對的一項風險。一位不滿的員工,或者單純的檔案櫃沒有上鎖,就能造成敏感資料外洩,導致高昂的財務、信譽與法律損失。

 

DLP3

IT 不斷演化的結果為網路犯罪者帶來許許多多的攻擊管道
儘管如此,隨著 IT 逐漸成為企業各單位的營運核心,這類事件發生的頻率和嚴重程度只會不斷擴大。現在,光是利用網站平台的一個小小漏洞 (如 Adobe Flash),駭客就能取得寶貴的資訊,掌握登入資訊,或者找出供應鏈上的弱點。近年來的一些大型資料外洩事件包括:

  • 美國 Target 連鎖超市的銷售櫃台系統 (POS) 去年冬天遭網路犯罪者透過一位維護 Target 基礎架構的 HVAC 承包商的人員入侵。
  • 2012 年 LinkedIn 社群網站因網路遭駭客入侵而洩漏超過 6 百萬筆未使用加料雜湊值的密碼 (Unsulted Password)。
  • 可口可樂 (Coca-Cola) 因多部筆記型電腦失竊而遭到突襲,導致 74,000 多筆現職與離職員工資料外洩。

上述資料外洩事件的原因,從 PC 實體安全措施不足到企業網路弱點不等,顯示今日科技化企業在防範攻擊方面所面臨的挑戰涵蓋範圍廣泛。除此之外,雲端運算正逐漸融入 IT 系統當中,使得網路安全工作變得更加複雜,即使雲端現已增加了新的功能來減少 IT 流程與成本,情況依然相同。

根據 IDC 估計,未來六年雲端相關技術將占網際網路及通訊資產支出的 90%。儘管雲端正快速崛起,但它仍舊是多數企業最頭痛的安全問題。

雲端如何導致資料外洩
為何雲端和資料外洩的風險息息相關?基本上,使用某種雲端服務,不論是偏向消費導向 (如 Dropbox) 或是屬於專業人士工具 (如 Adobe Creative Cloud) 或者是企業自動化平台,IT 部門至少必須將一部分的掌控權交給第三方供應商。

Cloud7

JumpCloud 共同創辦人 Rajat Bhargava 告訴紐約時報記者:「毫無爭議地,當您不擁有該網路時,基本上就等於對外開放,而且您無法掌控其軟體。基本上,相較於將資料儲存在企業內部,雲端就是較不安全。」

企業的安全也越來越受制於員工,因為員工會使用一些普遍缺乏安全機制的雲端應用程式與工作流程,進而危及企業敏感資料。例如,2014 年 Ponemon Institute 研究機構發表的「雲端加密趨勢」(Trends in Cloud Encryption) 研究報告指出,雖然幾乎所有受訪者都計劃將公司資訊移轉到雲端,但他們的作法卻很隨便

  • 59% 的受訪者表示他們在基礎架構服務 (IaaS) 和平台服務 (PaaS) 上存放的資料皆未經過加密。同樣的數字對軟體服務 (SaaS) 而言則是 45%。
  • 26% 的 IaaS/PaaS 資料與 39% 的 SaaS 資料已經過加密,其他資料安全機制則分別涵蓋 15% 與 16% 的應用程式資訊。
  • 19% 的受訪者視 SaaS 安全為客戶和供應商的共同責任。此數字在 IaaS/PaaS 方面則有所不同,僅有 22% 認為供應商須負起完全的責任,這類雲端的安全 (如果稱得上安全的話) 基本上還是靠使用者自己來保障。

如同該機構的研究發現,當企業必須承擔雲端安全的責任時,許多企業做的並不夠。未加密的資料根本就是招人覬覦,一旦失竊,資料便立即可用。想到這點,就不難理解為何雲端能大幅提高動輒數百萬美元的大型資料外洩事件發生風險。

使用雲端可能提高大型資料外洩的發生機率
Ponemon Institute 另一份由 Netskope 贊助的報告提出了一項所謂的「雲端加乘效應」,隨著企業使用越來越多的雲端服務,企業暴露在資安事件的風險就越高。基本上,每增加 1% 的雲端服務,資料外洩的機率就上升 3%。

Netskope 創辦人暨執行長 Sanjay Beri 指出:「想像一下,若資料外洩的機率會因為您使用雲端而增加三倍的話,這就是企業 IT 人員將面臨的挑戰,而他們也開始意識到自己必須調整安全措施來因應。」 Continue reading “雲端讓資料外洩的機率和成本越來越高”

當你的雲端服務停擺,你要如何知道?

現在其實很難確認一個雲端服務是否停擺。它可能只是短暫中斷,但快取和其他系統會接手,這通常是看不見的。如果你的雲端應用程式可以使用,並提供服務給你90%的使用者,但其他10%沒有,這服務是活著還是掛點了?有介於兩者之間的嗎?

Cloud4

有時,它是行銷或服務水平協議方面技術性的問題。而其他時候,它是媒體的問題。拿微軟Azure停擺為例子。微軟公共雲內運算部分的管理功能有問題。大概有24小時的時間是一團混亂,IT部門受到了影響,而且之後仍然餘波震盪一段時間。

對於我這樣大半職業生涯都在雲端上的人來說,當我看到新聞時所想到的第一件事就是,「我很高興那不是我。」然後我問自己,「客戶可以做些什麼,好在這樣的故障下保護自己?」

架構上,我知道要建議完全備援系統,最好來自不同的硬體或雲端服務供應商。但作為實用主義者,卻也很痛苦的知道只有少數客戶有這樣的預算或耐心來實現這樣的系統,世界正在將他們拉到單一雲端服務供應商,而且它本身可能依賴於特定硬體供應商。

因為當IT部門要向財務長報告時,總是會有在經濟跟風險之間抉擇的問題。今天,完全可以備份到不同的公共雲供應商,甚至有待命的虛擬機器。你甚至可以讓你的資料或應用程式的備援放在不同的基礎架構即服務(IaaS)供應商,或是從一個平台即服務(PaaS)供應商故障轉移到另一個。

這裡只有一個小問題,就是這樣做很花錢。 Continue reading “當你的雲端服務停擺,你要如何知道?”

IT支出在2016年將會超過一半放到雲端

作者:Dave Asprey(趨勢科技雲端安全副總)

哇嗚。Gartner說:「雲端運算的使用在不斷地成長中,到了2016年,這成長將會增加成大宗的新IT支出。」更妙的是,他們預測,「2016年將會是決定性的一年,私有雲開始讓位給混合雲,並且有近一半的大型企業會在2017年底部署混合雲。」

Cloud

 嗯,那這裡面有多少屬於雲洗白(cloudwashing)?這在今年已經變得越來越常見到,將傳統IT產品重新用「雲端」命名。我很肯定我的烤麵包機也具備有雲端功能。但如果你撇開炒作,Gartner是真的專注在企業支出上,因此讓我們假設這大數量的成長中,只有極少數比例來自被錯誤分類的傳統IT產品。

我完全同意這些看法,將會有更多的IT支出在兩年內放到雲端。許多我所談話過的企業已經不再將應用程式放到自己私人資料中心擺在第一位。他們只有在有很好的理由不將其放到公共雲時才會這樣做。在兩年前,安全性會是個好理由,但到了今天,已經可以用同一套安全系統(如趨勢科技的Deep Security)來從同一個主控台來管理混合式的架構,包括公共雲和私有雲等元素,所以安全性問題現在已經可以被解決。另一個事實是,大多數私人資料中心也都在運行私有雲,所以當你將公共雲和私有雲的支出混在一起,當然它會佔一半以上,就如同Gartner所預測的一樣!

Gartner還精確地預測混合雲部署將會出現在一半的大型企業裡。但我並不確定大多數企業是否會將其稱之為混合雲。混合雲這名詞太過籠統,幾乎任何現代的公共雲部署,在任何狀況下連接到企業資料中心都可以稱之為混合雲。但如果透過合作夥伴所提供的軟體即服務(SaaS)和平台即服務(PaaS)產品來連結三個不同的公共雲又該稱為什麼雲?我們只能說這真的很複雜。

企業應用常常會變成這樣,這也是為什麼你可以得到一個關於電腦資訊系統的學士學位。雲端並無法改變這狀況。

 

@原文出處:More than half your IT spend is going to be cloud by 2016