近年來,為推動IT現代化與數位轉型,全球企業上雲趨勢日益顯著,臺灣也在慢慢跟上腳步,然而,在這急遽轉變的時期,企業將面臨混合IT與轉型的挑戰,雲端資安防護也成關注重點。

我們該如何思考雲端安全管理策略?從最近公布的多份雲端安全報告可看出規畫重點,而在近日舉行的臺灣雲端大會,勤業眾信資深執行副總經理林彥良綜合相關分析報告,提醒企業需了解當今雲端平臺可能威脅,並應從雲端安全治理角度出發,才不會盲目上雲,且呼籲國內企業更要重視雲端、地端整合風險管理策略。

雲端資安威脅多是管理疏失,配置錯誤問題最普遍

有了多家業者發布的雲端安全報告,能幫助大家瞭解雲端安全問題與趨勢。例如,5月20日,國際資訊系統安全核準聯盟(ISC2)發布「2022雲端安全報告」;6月7日,雲端安全聯盟(CSA)也發布新版「Top Threats to Cloud Computing」的報告,更早之前,還有去年下半Google針對GCP入侵案例分析的Threat Horizons報告,以及Fugue與Fugue聯合發布的雲端安全現況報告。

有那些雲端安全議題,是2022年企業最需關注的重點?林彥良指出,混合雲與多雲絕對是企業會採用的方向,而且現在的雲端應用面向,越來越五花八門,有不同的使用方式,他們就曾遇過有公司用雲端來做資料保護,而且是用Salesforce來保護其研發流程與技術。

不過,雲端的特性與平臺的管理,所衍生出各式議題,企業必須予以正視。否則企業轉型不好,等於門戶大開。

從雲端服務常見的資安威脅來看,在近一年的雲端安全報告中,有幾個重點值得關注。首要就是雲端配置錯誤的問題,幾乎每一份報告都會提到這類威脅,不論是資料庫資料檔案的存取,或是系統存取,幾乎都是因為配置錯誤引起。

還有一些問題集中在權限與組態,像是帳號、憑證、金鑰與特權帳戶管理不足,使用不安全的接口與API。

從大多數雲端資安問題來看,我們可以發現:犯罪組織與APT攻擊的威脅,其實在雲端環境並非主流,因為駭客直接從企業基本配置問題切入,就已經可以找到許多破口。

需積極建立雲端管理能力與知識,存取控制思維也要轉變

對於還沒上雲的企業而言,首先,所抱持的思維必須跟著轉變,不能單純從地端去思考雲端上的配置,因為這麼做其實難以找到共通的管理點,而且,若將地端環境這套管理邏輯,原封不動直接搬到雲端,應該設定的IAM卻都沒有設定,到了雲端,就等於變成「裸奔」,形同將內部應用全部對外開放。

而且,在他們過往查核的經驗中,曾遇過採用混合雲的企業,雖提供雲端與地端的不同清單,但流程都是一樣,這樣其實並沒有轉型。

為何上述雲端安全配置會如此困難?林彥良強調,對於雲端環境的理解是第一要務,其次,是不要用地端邏輯去思考雲端架構,特別是多雲環境。

此外,臺灣企業上雲普遍會從地端逐步遷移到雲端,在混合雲環境當中,雲端與地端整合的風險管理策略,需要特別重視。更進一步來看,如何簡化管理的複雜性,將會是企業在多雲與混合環境上的關鍵。

再繼續探究下去,我們可以發現:現在企業可能面臨的最大問題,就是雲端安全人才的不足,人員缺乏管理雲端複雜環境的資安技能,事實上,這並非是否了解資安,而是很多企業根本搞不清楚雲端環境。

更何況是多雲環境,雖然管理邏輯架構一樣,但原本程序名稱、功能不同該如何應對?

林彥良表示,他們在多年前就開始鼓勵臺灣企業,要設立架構師的職位,因為以他們IR事件應變的經驗來看,第一件事通常不是檢查Log紀錄,而是要先找到懂環境全貌的人。企業要上雲亦是如此,同樣需要對雲端環境完整了解。

他並提醒,雲端平臺上所有操作紀錄與監控必須開啟,不要因為需付費而關閉,一旦缺乏安全可見性與監控能力,將無從管理,並要考量雲端、地端結合過程的主從關係。

另一個企業普遍會遇到的挑戰,就是自身沒有足夠能力維運雲端環境時,會選擇委外。然而,企業要注意,若是全部交給系統廠商負責,這代表把整個運行環境,交給一個有合約但約束力不高的廠商,如果企業又沒有對廠商做管理與要求,等於環境完全被對方抓在手裡,或是可能發生移交到正式環境,單純的配置失誤變成無法修補的情形。

因此,企業不僅是要重視雲端委外監督與管理責任分工,特別是在相關權限的檢查,應該由自己負責去做,並了解整個環境的情況,不該將這樣的工作交給廠商去做。

同時,還要注意的是,從地端遷移到雲端,存取控制的思維也要轉變。像是在用戶與資料安全方面,上雲之後通常會需要採用新的身分識別方式,而資料保護、隱私保護、法規均能作為資料存取權限設定的依據,在核心應用安全性面,企業上雲前應確定已實行最低限度的控制措施,如最小權限管理、安全登入區域、工作負載防護、DevSecOps、零信任與攻擊面管理等。

無論如何,數年前全球就在談企業上雲這件事,從國外的經驗與例子來看,現在已傾向地端不再擴展,新應用都往雲端發展,並會有很多原生雲服務去取代地端的應用,而PaaS的應用規模也將大於IaaS。林彥良也特別指出,在勤業眾信最新的一份調查中,在100位財務長中,有94人希望將ERP搬到雲端,反應出普遍渴望上雲的態勢。

在國內,我們現在也追趕著上雲、用雲的潮流,因此林彥良也提供一些建議,指出企業可從服務的邏輯去思考,從業務的角度去設想,自身優先要將那些應用服務搬上雲端,接下來則關注法規、安全、資料保護與供應鏈要求等。最關鍵的還是,要讓組織可以用同一套管理架構,做好雲地整合管理,同時,也要繼續思考企業需要什麼樣新的人才,舊的人才該如何調整。

前幾年談企業上雲時,雲端安全的共同責任模型(Shared responsibility model)已經受到資安專家談論多次,雲服務提供商與上雲的企業組織用戶都有各自要負擔的責任,這已經是基本概念,除了雲服務供應商持續強化自身,相對地,企業上雲如何顧好自身安全就是討論焦點。

熱門新聞

Advertisement