雲端運算的資安防禦新思維

潛在風險增加  

對個人與企業而言，雲端運算使其享有無處不在的應用服務便利性，但潛在風險更需要被評估。這些因而衍生的風險不會隨時間過去而自動消失，也很難透過科技的發展演進加以克服，因為這並不是資安技術上的弱點，部分形成這些風險的原因可能來自於企業本身失去對於其資料安全的有效控管能力，而任由風險產生的機會增加。  

就企業應用的角度，尤其要考量的是相關資料與傳輸安全性，現在的駭客已經不像過去採用正面攻擊法，取而代之的是小巧細膩的滲透與入侵。而企業的資安防禦思維也應該從堅壁清野的重型防護架構，轉變成為隨侍在重要資料旁的貼身保護，如此才能夠避免新一代雲端運算架構所可能產生的資安危害。  

便利服務的背後　資安須更審慎看待  

企業不斷尋找可以讓整體資訊架構變得更加彈性，使用上也更加靈活便利的應用服務，這項願望在雲端運算架構逐漸成形後，已不再是遙不可及的夢想。大型企業可以自行建置專用的雲端運算服務，而中小型企業也可以利用第三方軟體開發公司所提供的服務，用少量的租賃費用享有良好的服務。  

但是在這些便利服務背後，卻隱藏了尚未露出爪牙的惡魔，在未受管理的「公共雲」中，有誰能夠保證這些資料是安全的？沒有被其他人節錄、竊取或複製？就算企業可以安全地接收這些資料，但是也不能保證資料在過程中是否已洩漏出去。因此，是否要享受便利、全然倚賴雲端運算，將「重要資料」的主導和掌控權移交到他人之手？這是一個值得審慎研究的課題。  

從防禦到偵測  

雲端運算有一項特點，就是大多數使用者只要知道怎麼使用就好，卻不需要了解內部運算流程與架構。但是對於雲端的資安防護而言，卻不能如此輕忽怠慢。  

雲端運算是可讓員工輕鬆使用的解決方案，但其資安防護卻不能依樣畫葫蘆，企業資安人員必須要了解每一項雲端運算的走向與流程，針對其中可能出現的漏洞做出最佳處理方法，如此才能避免危害發生。  

目前在雲端環境中，最常聽到的資安危害就是資料遺失、洩漏或是遭竊，而這些針對應用層與資料本體的攻擊事件，都不是過去位於網路層的多種資安產品或措施能夠完全處理的。頭痛醫頭腳痛醫腳的處理方式，已經不再能對付新一代的資安威脅，因此，企業必須要更加強化相關的管理與監控措施，利用先行偵測的方式，確保各種異常與非法行為的發生，從防禦轉為偵測，才是未來新一代的資安觀念。  

所謂道高一尺魔高一丈，無論多嚴謹的安全防護都很容易會有漏洞產生，但是完善的資安監控系統，能夠協助強化防禦態勢，並在任何問題爆發之前及時發出警示，讓所有存在的危機都能在第一時間被處理與解決。  

內部網路並非絕對安全  

傳統觀念中，企業內部網路是受到百分百保護且絕對安全的，但事實上從最近幾次重要的資安事件中，事件原由幾乎都是由內部員工所引發的相關威脅。姑且不論這些行為是有心還是無意，從這幾次事件即可看出以往企業對於內部員工的資安觀念教育與管理明顯不足。  

外部攻擊者可以透過社交工程，或是惡意軟體的協助侵入內部員工的設備，並且藉由安全管控政策上的遺漏，將各種重要與機密資料送到外部區域中，造成多起資料外洩事件，因此內部網路絕對不是百分百安全的。  

然而，此概念會引發相當強烈的資安架構轉變，因為過往所有防火牆、IPS或是內容過濾規則中，絕少針對內部網路控管，更遑論定義相關政策。許多常看見的防火牆規則並不是「deny all from any to any」，而是「allow all from LAN（Local Area Network，區域網路）to WAN（Wide Area Network，廣域網路）」，過去或許還可如此定義，但現在這樣的規則將會造成難以彌補的安全漏洞。  

現在的網路層政策與定義並無法完全防止問題發生，真正重要的應該是管理所傳遞的資料內容，只要能夠有效管理所有有待傳遞的項目，就算允許所有流量通過都不會造成威脅。  

聰明運用自動化　消弭人為疏失  

另一個企業需要思考的方向是「如何讓資安管理自動化」。這項自動化的觀念並非完全丟給機器自動處理，而是讓整體資安系統在遭遇任何風險徵兆時，自行反應以免人為疏忽。  

資訊人員每天需要處理的事件與警示相當多，有時候一則危險的警示會混淆在其他常見的事件中，如果在疏忽的狀態之下忘記處理該警示，企業就會遭受到程度不一的安全攻擊或威脅。為了要有效處理並記錄相關事件，應該要讓資安系統能夠自動化回應相關警示，並且依據預先設定的應對流程進行處理，就算該警示並不吻合各種已設定之規則，也應該即時以「異常表現」告知管理者注意，如此才能夠強化資安系統的防禦層級。  

自動化並不是讓資安防禦工具全權接手，而是透過管理者預先設定好的規則與思維，協助管理者處理例行且常見的警示和偶發的異常狀況，如此才能夠降低管理者的負擔，同時避免任何人為疏失的產生。