Cloud Access Security Broker Palo Alto Networks CirroSecure Forcepoint CloudLock Shadow IT Skyfence Adallom 影子IT CASB 思科 微軟

發揮領先規模優勢 企業級思維治理雲服務

2017-12-07
企業採用雲端服務已經是必然的趨勢,既然運用更多雲端應用與儲存空間服務有助於提升工作效率,自然會被廣泛採用,資料保護控管需求也將因此增長。
微軟資深企業應用業務經理簡志偉觀察,台灣高科技製造業在不同企業文化影響下,雖然國際級一線製造供應商的安全控管嚴格已是眾所皆知,但本土有更多的製造業,以降低成本、提高生產力為主要目標,IT部門僅為配合單位,無力限制公司同仁以私人裝置運用外部雲端應用服務處理公務,也才逐漸演變成影子IT,且難以具體實施因應措施。

最高規格防治影子IT 干擾電信網路連線

近年來影子IT問題逐漸被正視並且討論控管的可行性,普遍的作法是以不影響使用者操作為原則,採購企業等級的雲端應用服務,建立基本管理措施,以保護研發人員把設計圖等機密檔案存放在外部雲端儲存空間的安全性。至於消費端免費的雲端應用服務,大多無法直接控管,因此現階段企業常見透過防火牆增設規則來協助,一旦偵測發現連線使用未經許可的雲端應用服務,立即執行阻斷。只是若使用者透過行動電信網路連線存取,則無法可管。

因此若要完整因應雲端應用服務可能帶來的資安威脅,必須要有全盤的考量,包含電信網路的控管能力。簡志偉說明,台灣高科技製造業者常採取的方式,是建置解決電信網路連線的專屬設備,在廠區範圍內讓電信網路無法正常連線;至於針對雲端應用服務的控管,則可借助微軟EMS(Enterprise Mobility + Security)解決方案,搭配Cloud App Security建立可視化能力以進行探索、資料控制、威脅保護措施。

API介接App 依據安全性評分風險

▲微軟資深企業應用業務經理簡志偉認為,採用雲端服務已經是必然的趨勢,既然雲端應用與儲存空間服務有助於提升工作效率,自然會被廣泛採用,資料保護機制需求也將因此增長。
微軟的Cloud App Security技術來自2015年收購的CASB廠商Adallom,根據官方網站上說明,每位使用者每月5美元(建議零售價)訂閱的方式即可使用,較適用於全雲化的企業採用。

簡志偉說明,Cloud App Security作法是基於API模式,已跟全球將近二萬家雲端應用服務供應商建立合作關係,透過工具執行探索功能,可查看所有已批准與未經批准使用的雲端應用服務。IT管理者可依據分類查看,例如在操作介面上點選雲端儲存體,即可一目了然使用者所採用的App名稱。

經由探索發現的雲端應用服務,在主控台儀表板上會顯示風險分數,IT管理者可藉此得知該服務的成熟度,若發現風險指數過高,則可建立攔阻政策來禁止使用。風險評分準則主要是依據多因素認證、檔案加密、權限配置等屬性,給予加權平均值,「較特別的是可根據法規規範評估,因此亦可在儀表板上列出特定雲端應用服務符合的規範,例如HIPAA、PCI-DSS、ISO 27001等標準,以判定是否符合公司資安規範等級。」

掌握使用者所採用的雲端應用服務後,下一步則是進行調查,會納入所有的活動記錄,例如已經被分享的檔案名稱、擁有者、分享的對象等資訊,若該檔案內容包含機密資訊,圖形介面上會以驚嘆號標示,可協助IT管理者掌握檔案的流向與使用狀態,掌握大量下載、對外分享重要檔案等行為,以免演變成資安事件。

結合Azure AD條件式存取原則管控

「在威脅偵測方面,我認為微軟相對於其他業者的強項,即在於全球擁有一億台以上的桌機與筆電用戶,內建病毒工具檢測,即可針對中毒的狀況深入分析,等於有上億的資料來源解析各種威脅的狀況,以及檢測異常行為,可說是基於微軟既有優勢所提供的服務。在比對異常行為時,主要是運用演算法技術建立用戶行分析基礎,以快速發現問題環節。」簡志偉強調。

他進一步說明,「在這方面,目前市面上能媲美微軟的大概只有Google了,因為Gmail用戶量也相當多,有足夠豐富的資料輔助分析釣魚郵件、惡意附加檔案等樣本檔,進而提供攔阻機制。但是Google畢竟從消費端興起,而微軟本身就具備龐大商業客戶,兩家公司著重之處自然不同。」


▲透過Cloud App Security與Azure AD條件式存取相互整合,可達到即時監看與控制連線操作行為,依據用戶群組、連線發起位置、設備狀態等條件,給予風險等級指數,再配置允許存取機敏檔案的操作範圍。

Cloud App Security提供的雲端應用服務保護機制,主要是在Proxy環境中結合Azure AD條件式存取(Conditional Access),可根據指定條件,強制執行應用服務的存取控制原則,並套用在使用者群組、雲端應用服務、地理位置產生的執行行為,以禁止未接受管理的裝置下載機敏檔案,抑或是選擇不封鎖機敏檔案被下載,但要求須執行加密。

此外,若發現高風險用戶登入雲端應用服務,所有執行的動作皆予以記錄,讓IT管理者得以調查與分析使用者行為,以及被列為高風險的主因,並調整條件式存取原則加以控管。條件式存取原則配置完成後,使用者端存取雲端應用服務的所有互動行為,都會被導向Proxy檢查與記錄,而非直接存取雲端應用服務。

針對資料保護與隱私權方面,Cloud App Security可符合ISO、HIPAA、CSA STAR等法規認證。當Cloud App Security執行內容檢查時,檔案內容不會被儲存在任何形式的資料庫,只會留下中繼站連線與違反規範的記錄,並保留180天的活動記錄、90天的探索資料、180天的警示資訊。掌握資料來源後,Cloud App Security 可執行複雜的啟發式異常偵測引擎,分析雲端應用環境並建立基準線,當出現偏離時給予警示,以及時發現異常活動。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!