隨著企業營運業務關鍵任務系統遷移到公有雲平台,以及雲原生開發逐漸成主流,雲服務的可用性、可靠度、安全性,已成為企業IT首要面臨的挑戰。
長期專注在研發網頁與資料庫安全防護機制的Imperva,看重企業採用雲端服務已成為明確趨勢,早在6年前即已開始提供符合企業數位化轉型所需的雲安全服務,包含網頁應用程式與API防護(WAAP)、應用層與網路層的DDoS攻擊緩解、DNS防護、進階式惡意機器人防護(Advanced Bot Protection),以及針對網頁應用程式安全設計的執行期間應用系統自我防護(RASP)機制,今年(2021)更進一步推出Imperva Sonar平台,彙整地端與雲端產生的資料,以建立自動化工作流程與加速事件回應。
Imperva亞太暨日本區資深技術總監周達偉指出,成立迄今已有19年歷史的Imperva,過去主要銷售地端部署的設備,近年來增加轉型到雲端服務的投資,提供企業用戶可選用訂閱制取得Imperva技術,滿足不同類型的維運需求。除了早在2014年就已收購Incapsula技術,可提供WAAP服務,2018年收購Prevoty取得執行期間應用系統自我防護、2019年收購Distil Networks取得進階式惡意機器人防護、2020年收購jSonar彙整地端/雲端資料庫活動記錄與分析平台,使得Imperva Sonar平台能夠完整提供雲端應用安全領域的深度防禦。日前最新收購CloudVector取得了備受市場肯定的API防護技術,預期將納入WAAP來輔助企業保護雲端應用服務。
系統遷移上雲已成轉型必然趨勢
現階段企業應用部署主流架構為混合雲模式,藉以解決實體資料中心難以彈性因應營運業務增長擴增資源的障礙。周達偉觀察,多數高階管理者已理解訂閱雲服務的費用甚至有可能較地端自建部署更高,但新型態應用服務之所以部署在公有雲或自主研發雲端原生應用系統,並非為了降低IT預算,主要目的是著眼於可支應突然暴增的存取量,彈性擴充實體資源,以確保服務可靠與可用性。
主流公有雲服務供應商有各式收費項目,企業基於雲端原生開發的應用,可能涉及訂閱多種類型的服務項目,總體費用勢必較自建部署更高。實際上,除了費用因素,企業還會考量的是現代工作者最無法接受的三件事:停電、斷網、手機遺失。周達偉說明,若遭遇停電,自行維運資料中心得自行負責,但採用雲端資料中心則可要求廠商負責。主流公有雲服務供應商的收費項目,包含保障服務可靠性的等級,以及後續硬體故障修復、汰換升級等維運服務,正是驅動企業應用系統遷移的誘因之一。
台灣企業對外部公有雲的接受度逐漸提升,目前常見的架構是混合雲模式,特別是相對保守的金融業。傳統金融行業核心的「保險箱」存放的並非紙鈔、黃金,而是用戶的機敏資料與活動記錄,抑或是數位貨幣,較以往的保護標的完全不同,方法自然也得有所調整。 尤其是在後疫情時代,企業線上運行漸成常態,遷移上雲已成為產業轉型、市場經濟必然的趨勢。只是仍有許多產業如同金融業,內部許多核心應用系統後端的資料庫,儘管已相當老舊,IT管理者仍根本不敢擅自異動或變更。再加上遷移部署到雲端環境,並非把地端的作業系統打包後,直接掛載到雲端平台即可順暢運行,而是還有許多環境參數得逐一調整克服。拆解應用系統功能可說是常見的做法,讓核心資料庫仍保留在地端資料中心,借助API介接讓分散部署的應用系統整合運行。此時安全防護機制也得調整,結合應用程式防火牆與API防護的WAAP服務即可協助。
結構與非結構化活動狀態分析
既有地端的工作負載(Workload)遷移到雲平台後,對於IT管理者而言,重要的差異在於責任歸屬。原本地端的所有事務都由IT部門負責,當企業營運業務需增添網頁應用系統,以往的做法是軟硬體經過採購與部署、增添安全防護機制後才放心上線,如今改為部署在雲端平台,虛擬化平台以下屬於公有雲平台供應商負責的範疇,IT部門根本無法碰觸到底層資源。如此一來,傳統網頁應用系統演進部署到雲端平台,上線流程的自動化程序變得更加重要。
周達偉說明,過去IT規模較大的企業,在各地區建置的資料中心皆得遵照管理辦法制定的標準流程執行,伺服器不僅只是採購,除配置IP位址等基本運行參數、作業系統安裝最新修補程式等,還必須增添防毒、應用程式防火牆等防護機制。如今只要基於標準化工作流程,轉換成為程式碼,當需求單位填寫申請表單經審核完成後,隨即觸發自動化執行,無須人力介入,以發揮採用雲端平台實質效益。 至於資安控管模式,則類似許多企業內部自建的SIEM系統,「Imperva Sonar可成為進階版的SIEM,」周達偉說,搭配Sonar閘道器在邊緣端蒐集應用程式、資料庫產生的結構與非結構化日誌,實作大數據訓練演算模型,對用戶與裝置使用行為分析(UEBA)引擎,以及資安協調、自動化與回應(SOAR),一旦出現高風險異常活動,立即觸發Playbook自動回應。此外,亦可藉此了解機敏檔案的存取、共享、保存方式,以確保符合規範要求。
整合CI/CD自主防護 防API暴露資料
針對已演進到混合雲模式的企業IT型態,為確保快速改版與交付的現代化應用服務資安風險得以被精準地掌握,周達偉建議,須定期由專業資安顧問對執行混合雲、雲端原生服務的資產進行盤點,進而評估風險,確保現有的保護措施足以因應最新法規條款與外部攻擊威脅。
過去行動裝置興起,未經授權自攜裝置(BYOD)的工作模式,衍生出「影子IT」議題,如今企業IT轉型以雲端優先,則是出現「影子API」。以往企業從未設立API安全審查政策與管理辦法,隨著雲原生開發成為主流,微服務架構極度仰賴API整合運行,掌握東西向流量避免API被濫用變得至關重要。Imperva收購CloudVector的戰略,即是為了協助企業強化API防護力。藉由整合到CI/CD Pipeline,根據實際網路流量主動發現API活動、運用機器學習分類、識別機敏資料暴露以及異常活動檢測來增進安全性,讓容器、Kubernetes、GraphQL、gRPC等先進技術的混合雲部署具有自主保護能力。