由漢昕科技代理的資安廠商StoneSoft發表了5個可以提升組織雲端運算(Cloud Computing)安全的解決方案,此份發表同時參考了Gartner最近的研究報告,報告中指出,到2012年時將有近60%的實體伺服器被虛擬伺服器取代,於此同時虛擬伺服器的安全是更為薄弱的。(資料來源:Addressing the Most Common Security Risks in Data Center Virtualization Projects, January 2010)
現今大部份的組織在佈屬虛擬化科技時並沒有資訊安全與網路安全團隊參與初期的建置計畫。這讓許多組織只是對虛擬網路與原有實體網路安全策略做簡單的更新動作,如此缺乏遠見的動作,將大大減少網路的安全性,也使組織的雲端安全面臨更大的挑戰。
為此,StoneSoft提供了5個解決方案供IT團隊保護自已與對抗雲 端運算安全的威脅與攻擊。在考慮雲端運算安全的策略時,它包括了:
統一的身份驗證(Federated ID):原有雲端運算環境需要管理人員登入多個應用程式與服務進行管理,這裡面有一個很大的安全問題,這代表組織對使用者登入驗證的管控失去了掌握權。要降低此風險的方法可以透過single sign-on方式達成(如同StoneeGate SSL VPN),以確保多個應用程式與服務對應到每一個使用者都是合法且受紀錄,當然考慮到組織外部所提供的公雲,也可以透過此單一登入的方式來進行管理。如此,組織就可以簡化安全的管理並強化使用者登入雲端的安全性。
永遠的線上服務(Always-on Connectivity):當組織重要的商業資料都需存放在提供服務的雲端時,網路的中斷將造成商業活動與服務的中斷。存取雲端的服務必需永遠在線上,即使是在維護更新時段亦需如此。為此,需要高可用的科技功能來解決,例如在網路基礎建構上提供能同時active/active閘道式clustering機制,動態的Server load balancing與多條的ISP連線負載平衡。組織可以找尋相關的科技解決方案以符合營運持續的需求,最好的方法是能夠在單一設備上就滿足所需功能,且同時兼具效率、簡易管理、與網路成本的降低。
多層次防護檢測(Multi-layer Inspection):雲端運算環境的增加與網路威脅的快速變遷迫使安全需要透過不同層次的防禦來保護,所謂的多層次包括了邊界防護、入侵偵測、與入侵防禦等功能。除了建置第一代的防火牆於邊界進行安全防護,StoneSoft建議佈屬新世代虛擬防火牆於虛擬層進行防禦(如同StoneGate Virtual NextGen Firewall),這包括了防火牆與IPS的深層檢測,如此才能確保各組織可以檢測所有層次的流量,從最基本的點對點的應用程式流灠到加密的Web SSL Tunnel流量。為了防止內部網路對雲端服務的攻擊威脅,也建議於虛擬服務前方設置IPS進行資料的保護。
集中管理(Centralized Management):不論在實體與虛擬網路環境,人為的錯誤仍是很重要的安全威脅。公司可能為了保護虛擬環境設置了新的網路設備,其實這也同時增加了網路設備的管理、監視、與設定的複雜度與風險。為此,StoneSoft建議透過單一的管理介面來管理所有的設備,包括了實體、虛擬與第三方設備。
虛擬桌面防護(Virtual Desktop Protection):愈來愈多的組織了解到可以透過虛擬桌面來降低成本與管理,但虛擬桌面的安全則需額外的保護。為了充份的保護虛擬桌面,組織必需將虛擬桌面與其它網路隔離並進行深層檢測來防止內部與外部的安全威脅。如此,組織應該建構可深層檢測的IPS於虛擬桌面前方,以防止內部的非法存取、惡意Server對使用者的感染,就如同保護外部使用者以IPsec或SSL-VPN存取內部網路時,可透過IPS進行深層防護一般。