公有雲是企業的關鍵戰略工具。企業無須大量的投資,又可大幅降低引進新產品帶來的風險。此外,公有雲可以讓開發人員快速移轉且極具彈性,為各行各業帶來前所未見的競爭優勢。
公有雲是企業的關鍵戰略工具,其重要性也日漸增加,同時也帶動了公有雲部署的安全性議題。這也意味著資安長(CSO)與資安團隊必須協同產品開發、IT等團隊,建立起更緊密的合作關係。
在公有雲環境中,企業負責各自資料與工作負載(Workload)是既定的事實。在共享責任義務模式中,CSO必須儘早參與產品開發工作,以確保在產品開發過程中全程符合安全考量。在網路攻擊變得更普遍、損失代價昂貴的時代,能確保產品安全特性,勢必為企業帶來顯著的競爭優勢。欲強化公有雲應用的安全性,企業需專注於五個關鍵要素:
1.展現與資安團隊協同合作的價值:由於開發團隊常誤解納入安全機制可能拖延開發進度或阻礙創新,因此不願意與資安團隊合作。但是必須理解,預防遠勝於治療。一旦最終用戶對於新產品有安全方面疑慮,開發團隊不得不重新設計,將大幅地增加專案時間與成本,並損害公司的信譽。因此在專案啟動時,生產開發團隊與資安團隊就必須協同合作,在專案執行期間一樣持續進行,並且培養成為開發新產品的習慣。
2.了解開發生命週期:資安團隊需能掌握生產開發團隊的計畫,並應詢問更多關於開發過程的細節,在過程中記錄潛在安全問題與防護措施,同時培養良好的互動,讓資安團隊更有機會得以在建構安全措施時獲得開發團隊的支持與合作。
3.納入測試:了解產品是否足夠安全的唯一方法就是測試。資安團隊必須讓開發團隊明白,不僅在整個開發生命週期中得納入安全測試,產品發佈後亦須如此。持續測試,至關重要。CSO必須謹記,公有雲提供不同類型的服務,每種服務皆有獨特的安全隱患與遭受攻擊的應用場景,必須經由測試來發現並改善。
4.確保可視性得以持續:監控執行活動可說是預防網路攻擊關鍵環節。不論產品是否託管在雲端平台,同樣會面臨相同的威脅行為模式,但是內部工作負載所部署的防護措施,不見得適用於雲端環境,因此資安團隊必須專門針對雲端應用模式量身訂製防護措施,並且確保可視性得以持續。
5.制定全面的應對計畫:雲端安全應該在董事會層級就定義為優先事項,畢竟網路攻擊的後果,可能造成財務與商譽上極大的損害。資安團隊亦必須與高階主管,或是董事會成員進行公開對話,以便能夠共同掌握與管理網路攻擊風險性。其中一項重要工作是發展全面性的工作手冊(Playbook)以及事件回應計畫,藉此掌控可能發生的情境。萬一網路攻擊事件真實上演,CSO必須立即確認關鍵成員及分工,共同合作以保持公有雲運行的安全。
<本文作者:尤惠生現為Palo Alto Networks台灣區總經理>