何謂雲端防護?

雲端防護:

雲端防護是保護雲端上所有資料及服務使它們免於駭客攻擊或入侵,以防範可用性、一致性與機密性遭到破壞的一種作為。儘管雲端服務供應商提供了安全的雲端基礎架構,但在資安責任共同分擔的模式下,客戶必須負責確保他們放到雲端上的工作負載、應用程式及資料本身的安全。

雲端防護

雲端防護或許聽起來遙不可及。雲端只不過是別家公司持有的一群伺服器、路由器、交換器而已。您有許多方式可以保護您的企業,並且履行您應共同分擔的資安責任,既維護雲端安全,又徹底發揮雲端的所有效益。

在討論如何保護雲端基礎架構之前,讓我們先來看看雲端的架構。今日的雲端環境有許多選項可供選擇,基本上分成三種服務模式與四種部署方式。這些是根據 NIST SP 800-145 文件 (The NIST Definition of Cloud Computing) 中的定義。

三種服務模式分別為:

  • 基礎架構服務 (Infrastructure as a Service,簡稱 IaaS):基礎架構服務可讓一家公司自行打造虛擬資料中心 (vDC)。
  • 平台服務 (Platform as a Service,簡稱 PaaS):提供許多選項讓客戶供應、部署或開發軟體。
  • 軟體服務 (Software as a Service,簡稱 SaaS):直接提供軟體給客戶使用,客戶無需購買電腦或伺服器來架設軟體。最好的例子就是 Microsoft 365 (原 Office 365) 及 Gmail。客戶僅需要一台電腦、平版或一支手機就能透過網路使用軟體。


NIST 使用的是較為平舖直敘的描述,但廠商則會使用各式各樣的詞彙來突顯其自家產品,從 DRaaS (災難復原) 到 HSMaaS (硬體防護模組)、DBaaS (資料庫) 以及 XaaS (泛指各種服務) 等等。不過,視廠商的行銷重點為何,某項產品到底是 SaaS 或 PaaS 有時並不容易分辨,但其實最終還是要看雲端廠商的合約內容比較重要。雲端廠商會以附約的方式在雲端合約中增加額外的資安服務,如:HSMaaS (硬體防護模組) 或 DRMaaS (數位版權管理)。

四種部署模式分別為:

  • 公有 – 人人都能公開採購,眼前最佳的範例就是 Amazon Web Service (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP)。
  • 私有 – 專為某家公司所打造,底層的硬體不與他人共享。私有模式也可建構在公有雲或您自己的資料中心之上,或是專門打造私有雲的某家廠商,也就是託管服務供應商。
  • 社群 – 這是一種企業之間共享的概念,可以是服務共享,或者是服務上的資料共享。一個例子就是由政府統一建立一套雲端讓各個不同單位共享。
  • 混合 – 至少要使用到前述三種部署模式中的其中兩種才算,例如:公有與私有、私有與社群,或者公有與社群。還有一種可能是混合全部三種。

 

雲端架構

雲端架構的作用是將所有不同建構元件與次元件組織成一個合乎邏輯、高效率且能妥善發揮作用的結構。此結構應該讓這些建構元件彼此搭配並在相同的目標下運作,且盡可能發揮長處並消除弱點。一個雲端所必要的基本建構元件包括網路、路由器、交換器、伺服器以及各種額外單元,如:防火牆和入侵防護系統。除了這些元件之外,雲端還包括伺服器內部的所有元素,例如虛擬化程式 (Hypervisor) 與虛擬主機 (VM),當然還有軟體。此外,雲端架構還需要雲端供應商、雲端架構師及雲端仲介業者來建立、管理及買賣雲端服務。

許多涉及到雲端架構的詞彙,都只是在原有的詞彙加上「雲端」兩個字而已,例如:雲端消費者。只要您知道什麼是「消費者」,那麼您就知道什麼是「雲端消費者」,也就是雲端服務 (而非其他服務,比方說電話服務) 的消費者。

NIST SP 500-299 文件中所定義的一些基本詞彙包括:

  • 雲端消費者 – 使用某雲端供應商提供之服務的個人或企業。
  • 雲端供應商 – 擁有資源可為消費者提供這項服務的個人或企業。這牽涉到一些所需的技術來建立伺服器、虛擬機器、資料儲存以及其他客戶所要的資源。
  • 雲端仲介業者 – 負責為消費者管理雲端供應、使用及效能的個人或企業。這些廠商也負責代替消費者與供應商打交道。
  • 雲端電信業者 – 這類電信業者是負責將企業連上雲端的服務供應商,例如您的網際網路服務供應商。這對企業來說,一般是使用 MPLS 連線。
  • 雲端稽核業者 – 負責執行雲端供應商環境稽核的個人或企業,包括:隱私權稽核與資安稽核。


進一步了解雲端架構

雲端防護架構

要確保雲端安全,首先要從雲端防護架構著手,也就是在既有的基礎架構上加入資安元素。傳統的資安元素包括:防火牆 (FW)、惡意程式防護以及入侵防護 (IDS)。此外,也需要負責建立雲端內外整體安全結構的人員,包括:雲端稽核人員、雲端架構師以及雲端工程師。

換言之,雲端防護架構並非只侷限於硬體或軟體。

雲端防護架構首先應從風險管理著手。了解哪些環節可能出現問題,以及企業可能受到什麼衝擊,有助於企業做出更明智的決策。這其中有三個需要仔細探討的關鍵層面:企業永續性、供應鏈,以及實體保全。

如果您的供應商出了問題,您的企業將會受到什麼影響? 將伺服器、服務及資料移到雲端,不代表您就不需做好企業永續性及災難復原的規劃。

萬一有任何人進入雲端供應商的資料中心將發生什麼狀況? 對雲端三巨頭 (AWS、GCP 及 Azure) 而言,這樣的事不會輕易發生,而這就是重點所在。這幾家廠商可投入大量的資金來保障其資料中心安全,但其他的雲端供應商呢? 當您在評估任何雲端供應商時,您可向對方要求參觀其資料中心以進行稽核,然後觀察他們的回應。他們是否願意明天就帶您去參觀他們的資料中心? 如果他們的資料中心隨便人都可以輕易進出,那麼您或許應該再考慮一下。

有些較小型的供應商很可能根本沒有實體資料中心,很可能他們只是向大型雲端供應商購買資源,然後再轉賣。這一點倒是無妨,這就是採用雲端的優勢以及好處之一。不過,如果雲端廠商之間的關係不清不楚,那就可能衍生法律、法規與合約的問題。您可以問廠商一個很簡單的問題:我的資料會存放在哪裡? 如果雲端已經過層層轉包,那這問題就很難回答,這有可能會產生法律上的問題,例如違反歐盟通用資料保護法 (GDPR)。

企業的雲端防護架構當中也可能會包含一些雲端防護服務。企業可能採購 DLPaaS (資料外洩防護) 之類的服務,或者使用一些資安輔助工具,例如使用掃瞄工具來搜尋個人身分識別資訊 (PII) 以確定該資料受到妥善保護。要確保這些服務都正常運作,雲端防護管理將是必要一環。

雲端法規遵循

企業有許多必須遵守的法律、規範及合約。當您將資料和服務交到別人手中,為了符合法規,一些稽核程序可能就會變得複雜。

您應該先回答一個問題:您擔心的是什麼? 這有助於您決定您該問雲端供應商什麼問題。就法律而言,企業必須遵守歐盟 GDPR (通用資料保護法)、美國 SOX (沙賓法案 - 金融資料保護)、美國 HIPAA (健康保險可攜性與責任法案 - 醫療) 等各種法規。此外在信用卡保護方面則有 PCI-DSS (支付卡產業資料安全標準)。

一旦找出需要遵循的法規,您就能採取對應的行動,稽核就是其中之一。稽核應透過標準化方式與經過驗證的方法來執行,例如:美國會計師協會的 SSAE 18 (鑑證業務準則公告第 18 號)。從稽核結果就能看出哪些地方可能不符合法規。當決定要挑選哪一家雲端供應商時,很重要的一點就是閱讀這類報告來了解其資料中心的安全等級是否符合您的期待。

進一步了解雲端法規遵循

基礎架構程式碼 (IaC)

簡單來說,IaC 就是將基礎架構當成程式碼來看待 (這很像 DevOps 的邏輯),而不是每一台路由器、伺服器、交換器和軟體都逐一單獨設定組態。如果我們將 DevOps 的優點應用到基礎架構的建立與管理,將可帶來許多效益。您的基礎架構在雲端內將變得虛擬化,換句話說就只是一些程式碼,而非硬體。而一台路由器也只是位於某台 (特殊) 電腦上的程式碼,當我們去除了硬體之後,剩下的就只是程式碼。

現在我們將這邏輯應用到這段程式碼的開發與部署。有了自動化工具之後,現在我們就能以更輕鬆且更細膩的方式部署與管理軟體。假使我們也用這樣的工具來管理我們的虛擬基礎架構,我們就能以更輕鬆且更細膩的方式來部署與管理雲端。

進一步了解基礎架構程式碼 (IaC)

雲端防護議題