Internet Content Adaptation Protocol Cloud Access Security Broker Palo Alto Networks CirroSecure Forcepoint CloudLock Shadow IT Skyfence Adallom 影子IT CASB ICAP UEBA DLP 思科 微軟

DLP貫穿雲端與地端 一致化把關機敏資料

2017-12-06
隨著雲端服務已逐漸成為現代企業評估選用的項目,相關安全性議題也格外受關注。Forcepoint北亞區技術總監莊添發觀察,會將全部IT轉向雲端的中大型企業,各個產業的考量不大相同,人員分散且高移動性,則是重要的驅動力,例如保險業、跨國企業,外部據點較多,最適合採用雲端應用環境。
「若從資安的角度來看,傳統郵件安全、網頁安全機制,改採用訂閱方式建置的應用情境,今年的需求已開始增加;另一方面則是雲端存取安全代理(CASB)服務,主要需求在於企業應用系統轉換為雲端服務的數量增長,勢必需要建構CASB同等級的方案來強化安全性。」莊添發說,2017年初Forcepoint收購Skyfence後正式推出Forcepoint CASB,正可協助邁向雲端應用服務的企業,完善資安建置。

台灣企業採用雲端應用服務的腳步,普遍較其他國家緩慢,近兩年在微軟大力推廣Office 365服務之下,不同規模的企業用戶,開始感受到雲端應用服務的好處,因此也逐漸接受把關鍵系統與機敏資料儲存空間轉移到Azure、Google等公有雲平台。莊添發強調,在應用服務轉移到雲端環境之前,首要必須釐清潛在風險問題,如同自建在內部資料中心,相關的控管措施皆須具備。

代理與API模式皆備 彈性選用最適部署

▲ Forcepoint北亞區技術總監莊添發認為,CASB就像是雲端版的UEBA,可以完整掌握用戶端在雲端環境中的所有操作活動,並且理解人的行為模式,才能夠得知是否偏離公司資安規範政策。
近年來國際間陸續傳出存放在AWS S3雲端儲存空間的資料外洩事件,絕大多數事件主因是企業或組織用戶未能妥善設定雲端環境所導致,透過CASB整合API模式,則可協助偵測雲服務的組態設定,例如權限配置過高時,CASB會主動提醒,及早調整變更;當權限被調整提高時,亦可觸發告警通知IT管理者等相關單位。

莊添發進一步說明,組態設定檢查主要是依據CASB內建的範本為分析比對基礎,例如PCI、HIPPA、ISO 27002等法規規範;以及依照風險等級分類雲端應用服務,例如具備多因素認證功能的服務,皆屬於低風險。

「以部署方式來看,透過API介接可說是CASB最普遍的實作法,才得以直接讀取組態與Log資訊,藉此建立事後稽核;欲達到即時防禦,則需要搭配正向代理(Forward Proxy)或反向代理(Reverse Proxy)模式,透過強制控管政策來執行。Forcepoint CASB三種架構皆可提供,讓企業依照控管需求選用不同部署方式。」莊添發說。

若存取流量採以反向代理,終端用戶單一登入即可存取操作合法雲端應用服務;由於雲端應用服務皆為網頁操作介面,例如終端用戶連線到Office 365服務提供的網址,可設定指向Skyfence,只要單一登入即可透過Skyfence進行溝通。正向代理模式則無法變更指向特定網域,因此是安裝可支援桌機、筆電、行動裝置作業系統的端點代理程式,把流量強制導向Skyfence,之後再連線到雲端應用服務,在不影響用戶操作行為下建立控管機制。

DLP政策標準一致化 降低控管複雜度

雲端應用服務應建立可視性、合規性、檔案加密與存取控制、威脅防禦等機制,來降低資安風險。部分商務版雲端應用服務已提供相關功能,可在選購授權後啟用,問題是,各家實作方式勢必不同,再加上企業採用的雲端應用服務種類日漸增多,必須深入研究每個App內建的保護機制,才能釐清需要強化的環節,之後也無法制定標準政策,增加IT控管的複雜度。

如今的CASB可提供的功能機制,也許無法涵蓋不同企業應用環境中的所有技術平台,因此通常可透過整合方式運行。莊添發舉例,DLP最基本具備的能力為內容分析,例如定義信用卡、身分證號等機敏資料,以建立偵測與控管政策。過去多年來,企業內部採用DLP解決方案來防範資料外洩,但即使內部應用系統轉換為雲端應用服務,仍舊需要運用DLP機制協助控管,儘管CASB也有提供DLP功能,卻往往無法把既有控管策略與措施,直接套用到雲端平台的應用服務。

常見的狀況是CASB所提供的DLP控管模式不多,企業內部建置的Forcepoint DLP控管政策,平均有將近兩千條規則,像是指紋比對、OCR等機制,不可能要求CASB解決方案功能也如此完整,畢竟發展初衷是保護SaaS應用安全性,難以針對特定技術領域深入研究。如此情況下,只能採取本地端與雲端各自配置控管政策。


▲依據企業雲端應用服務控管需求,彈性選用自建或雲服務的CASB解決方案,以API模式、正向代理、反向代理保護安全性。(資料來源:Forcepoint)

「對於機敏資料較敏感的企業,通常會需要把本地端的DLP標準規範,也套用到雲端應用場景,在無法全數仰仗CASB的情況下,最佳解應當是整合內部與外部機制來建構。因此Forcepoint CASB所提供的DLP,便設計了整合控管能力。」莊添發說。

不管是建置在本地或雲端的DLP,彼此之間只要透過ICAP協議溝通即可進行整合。例如資料進入CASB,之後透過整合機制把資料拋送到企業內部建置的DLP引擎,進行處理與分析,最後結果再傳送回到CASB平台。

除了資料保護,另一項CASB必備的要素,即是UEBA,藉由蒐集各種資料來源大數據、機器學習演算分析能力,建立人與設備的行為模型,完整掌握用戶在雲端環境中的所有活動,進而理解人的操作行為,才能夠得知是否偏離公司資安規範政策。現代資安方案控管的角度,都是從終端用戶、實體設備切入,CASB也不例外,可基於人與設備,檢視與分析所有行為,例如建立使用者的風險評分,IT管理者得以更有效率地察覺高風險用戶,再透過時間軸方式統整高風險用戶所觸發的事件,究竟是哪些行為所產生。相較以往設計主要基於實例的方式呈現,各個事件須逐條查看才有能力發現來自同一人所觸發,UEBA可提升控管效率,及時察覺惡意行徑。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!