著眼於國際間採用雲端服務的數量逐年增長,Fortinet提出的安全織網(Security Fabric)也持續演進,為多雲應用環境增添可視性與防護機制,搭建動態雲端安全(Dynamic Cloud Security)策略,協助企業解決逐階段採用雲端平台時不可忽視的資安問題。
Fortinet北亞區技術協理劉乙指出,Fortinet發展的動態雲端安全架構,其中一項環節即包含WAAP。儘管從國際市場調查機構的統計數據來看,台灣採用雲端服務的成長數量較為緩慢,相關的資安防護議題也較少被提及,但隨著近年來企業積極發展新型態應用場景,雲端平台可說是關鍵要素,如此一來,發展架構勢必得顧及雲端安全性。
雲端服務在台灣,採用最多的是政府、金融業的自建雲,應用服務並非部署在公有雲平台,雖然去年(2019)金管會開始允許部分應用服務可採用公有雲,但是目前尚未有銀行業開始動作,畢竟相當重視可信度的產業通常較為保守。不過劉乙認為,第五代行動通訊(5G)開台營運後,屆時應用服務會變得更加動態且分散,以快速地回應市場需求。此外,預計今年上線營運的純網銀,未來諸如此類的新型態應用勢必愈來愈多,驅動安全性機制快速地演進。
雲端工作負載防護 控管運行資源
劉乙引述國際市場統計調查報告,企業採用雲端平台評估的重點首要是效能,其次是安全性。現代部署的應用服務,已難以預期使用者同時連線數量,剛開始上線數量或許不多,可能某天在社交媒體平台上被分享後,流量因此爆量增長,根本無法預測。因此效能同樣是應用服務上雲端的首要考量,其次則是資安。
現階段上雲常見的作法是前端應用服務部署到雲端平台,後端資料庫則維持在地端資料庫,確保安全無虞,這種類型即為典型的混合雲;若是應用服務分散部署在地端與雲端,此則是多雲架構。初期採用雲端服務的方式,多數是訂閱IaaS部署應用系統,針對此類應用場景,Fortinet提供雲端工作負載防護(Cloud Workload Protection,CWP)機制來協助,稱為FortiCWP,基於AWS、GCP(Google Cloud Platform)、Microsoft Azure提供的API整合蒐集詳細運行資料,搭配FortiGuard Labs掌握的最新威脅情資,以便快速偵測發現雲端環境中的惡意活動,同時亦可藉此確保符合PCI、HIPAA、SOX、GDPR、ISO 27001、NIST等法規遵循要求。
儘管雲端平台的自動化橫向擴充能力相當吸引企業採用,劉乙觀察,目前已逐漸開始出現資安問題,有攻擊者入侵後執行擴充用來運行挖礦,企業通常是在支付費用時才會發現,並且質疑公有雲平台變相收費。實際上,啟用服務是企業用戶的權利,公有雲平台供應商不會干涉,至於是否被利用則同樣得由企業用戶自行負責。
地端資安配置延伸到雲端平台
針對雲端平台設計的應用安全,Fortinet傾向是把地端解決方案部署到雲端平台,再調整適應以整合運行,提供網頁應用安全、邏輯微分段、容器環境安全、保障生產力與工作負載。劉乙進一步說明,邏輯微分段是以應用程式意圖為基礎區隔存取行為,一旦偵測發現違反控管政策的行為,可以選擇逕行阻斷,抑或是背景記錄模式,以便於事件調查與追蹤。
前述提到,FortiCWP可提供風險控管、流量分析、威脅性評估、法規遵循,主要是透過API定期擷取所需要的資料,才有能力及早發現漏洞、異常行為等事件,先一步防堵資安事件發生。這可說是傳統防護機制的轉型,以往要在伺服器上安裝代理程式,多數IT人員反對侵入式部署模式,演進到雲端平台後,則全數透過API方式即可實踐溝通與交換資料。包含容器環境的安全性偵測,可藉由監看程式碼與執行程序,指出已知的漏洞。
Fortinet建議企業初期部署雲端安全可採以Cloud Security Services Hub方式實作,讓地端解決方案例如FotiGate、FortiWeb(傳統WAF方案)等藉由虛擬設備版本攜帶授權上雲,才能讓控管政策不至於需要太大的調整,又能夠滿足防護需求。近幾年容器環境大受歡迎,主因是可跨平台,解除公有雲服務供應商的綁定,只是如此一來,就無法採用Services Hub方式保護,只能透過FortiCASB基於API介接監看。
WAF即服務建立防護兼顧法規遵循
至於WAAP其中的關鍵服務WAF,目前FortiWeb只在AWS平台上提供,企業用戶在AWS、GCP、Azure商城上訂閱WAF即服務(WAF-as-a-Service),或是透過經銷商採購,經過設定後存取流量皆會透過WAF即服務再回到目的位址。只要設定配置網域名稱後,用戶的存取流量自然會導向外部的WAF服務,藉此確保網站安全、保護API、過濾機器人攻擊與DDoS活動,完整發揮WAAP服務具備的能力。
以金融交易來看,主管機關明文規定進行交易時,消費者信用卡、身分證等個資必須進行遮罩處理,即便是雲端原生的應用服務同樣得遵守。然而,多數的DevOps團隊擁有新型應用程式開發與維運能力,卻往往缺乏部署與微調控管傳統WAF解決方案所需的專業知識。將以往實體部署的WAF轉換成為SaaS模式提供,可省去部署、配置、後續維運管理的日常工作,DevOps團隊亦可藉此整合到雲端原生應用。
WAF即服務完整地掌握所有流量封包的資料,基於雲端平台高速運算與彈性擴充能力,相當適合運行機器學習演算分析,進一步偵測行為模式的安全性。過去常見的攻擊手法是在網頁欄位中輸入亂碼,導致網頁應用服務過於忙碌而癱瘓,增添機器學習演算法之後,可主動辨識網頁上的欄位正常格式,若判斷為異常格式則不處理。
Fortinet提供的機器學習是由內部的專業資安團隊持續訓練資料模型,再發布更新到FortiGate等解決方案提升防護力。劉乙認為,其實機器學習分析模型各家資安廠商幾乎都已具備,採用的技術也大同小異,可稱為差異之處在於演算模型辨識惡意活動的廣泛程度,由於Fortinet產品線中包含防毒引擎,較其他資安廠商可掌握更多病毒樣本可餵入執行訓練,以提升惡意行為的辨識能力。