微軟對自家雲端物件儲存環境提供企業級惡意軟體掃描

為了因應勒索軟體對於資料儲存系統造成的傷害，這幾年來，我們持續追蹤市場上陸續崛起的各種威脅預防作法，例如：資料快速還原是最初且最廣為人知的對策，實體隔離（Air-Gap）、不可變儲存（Immutable Storage）近期重新受到重視，至於資安威脅偵測與識別的整合應用，也浮上檯面。

像是公有雲龍頭業者AWS在今年6月舉行的re:Inforece年度資安大會，就針對旗下物件儲存服務S3正式推出這類功能，事實上，單就大型公有雲廠商而言，IBM、Oracle、Google、微軟都已推出這類解決方案，我們現在來看微軟去年9月正式上線的Malware Scanning in Defender for Storage。

這項功能的供應，透過軟體即服務（SaaS）型態的微軟雲端原生資安防護服務Defender for Cloud進行，可處理包含ZIP壓縮格式檔案在內的所有檔案類型、單檔最大為2 GB，協助Azure用戶保護Blob儲存排除惡意內容，預防惡意檔案趁機散播、敏感資料外洩，以及資料破壞的事故，並且在企業與組織處理各種未獲得信任的內容時，能用來滿足NIST、SWIFT、GDPR等安全性與法規遵循的需求。

基本上，微軟會針對上傳至Azure儲存帳戶的檔案，以近乎即時的方式運用企業級端點防護技術Microsoft Defender Antivirus，讀取Blob儲存，執行內建、不需安裝代理程式（agentless）的惡意軟體掃描機制，透過記憶體內（in-memory）、頻外（out of band）的方式進行內容掃描，能夠攔截採用多形（polymorphic）與變形（metamorphic）這類企圖混淆特徵碼偵測的資安威脅。微軟表示，掃描作業大部分在儲存帳戶所在的相同區域進行，但在某些狀況之下，若遇到檔案可疑、需要更多資料確認是否安全時，惡意軟體掃描功能會與企業端點防護軟體Microsoft Defender for Endpoint合作，將包含分類至用戶資料在內的檔案中繼資料，例如SHA-256雜湊值，共享到掃描區域之外進行研判。

對於Azure用戶而言，經由簡單的步驟設定，即可大規模執行這項功能，以及處理這類資安威脅——可依據Blob儲存的索引標籤或Event Grid出現的事件，自動刪除或隔離可疑的檔案，而且不需要耗費人力與時間維護。

值得注意的是，關於大規模執行的能力，並非所有同類型解決方案都具備，微軟表示，多數會將檔案送至執行開放原始碼防毒軟體ClamAV的虛擬機器，或是交由端點偵測與應變解決方案（EDR）供應商，或是並非為PaaS與IaaS雲端服務量身打造的SaaS型態解決方案，而這些系統無法妥善地擴展執行規模，往往需耗費太多資源、大量依賴多個複製的工作，以及複雜的網路傳輸方式，導致用戶在開始進行掃描作業之前，就必須經歷過度漫長的等待，並且在應用程式與工作流程產生阻礙。

在大部分情況下，用戶會因此受困於錯縱複雜的網路，以及各種資料管理工作同時進行的挑戰，增加IT團隊的工作負擔。光是啟用程序的破碎與資源擴展規模的維護，就相當累贅，形成經常必須處理的負擔，產生許多出錯的機會，影響防護成效，並且因為資料流與資源分配不良，增加可被駭客與惡意軟體侵犯的空隙。

產品資訊

Malware Scanning in Defender for Storage
●原廠：微軟
●建議售價：亞太地區Defender for Storage每個儲存體帳戶每小時0.4361元，選購惡意軟體掃描功能每GB資料4.882元
●啟用與設定功能的權限條件：用戶角色須為Azure服務的擁有者（訂閱服務擁有者或儲存體帳戶用有者）
●惡意軟體防護功能：Microsoft Defender Antivirus
●單一檔案容量掃描上限：2 GB

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】