混合雲 雲端 個人身分識別資訊 PII 資料外洩 DevOps

擁抱雲端發揮數位化潛力 上雲前仍須有充分認知

混合雲轉移挑戰嚴峻 防範威脅考驗安全策略

企業逐漸移轉至混合雲環境以便迎接更有效率、更加創新的未來,卻也面臨了一些關乎整體策略成敗的重大問題。企業必須要能妥善保護自己的混合雲環境,解決雲端移轉所帶來的挑戰,包括不斷演進的威脅以及不斷擴大的受攻擊面。

 

今日,企業正紛紛投入數位轉型以徹底發揮數位化的潛力,畢竟,數位轉型不僅能提供競爭優勢,更能促進創新改善營運。在眾多數位轉型相關技術中,雲端是其中一項最重要的技術,雲端能為大大小小的企業提供處理巨量資料的能力,帶來龐大的儲存空間及運算效能。當然,好處還不僅止於此,企業正採用混合雲環境來同時獲得雲端的可靠性與動態應變效益,混合雲除了能為企業提供公有雲的速度及擴充性之外,更能提供私有雲的主控權與可靠性。

根據2019年Nutanix的一項調查顯示,有85%的受訪者認為混合雲是最理想的IT營運模式。此外,IDC也預測到了2021年,全球超過90%的企業都將採用混合雲端運算的模式來運作,包括企業內環境、專屬私有雲、多個不同公有雲,以及傳統的運算平台。混合雲環境既可彈性地執行需要大量頻寬的應用程式,又能支援不太需要企業內資源的工作負載,讓企業擁有極大彈性與實用性。

隨著企業希望不斷突破數位化的極限並且完成更多任務,有越來越多的企業開始改用靈活的軟體開發流程,運用DevOps工具和方法來簡化軟體與應用程式的開發週期。某些企業,尤其是遵從快速失敗(Fail-fast)理念的企業,大多著重於快速部署來盡可能提早知道某個專案是否可行,以降低日後的營運成本。為實現此一目標,企業紛紛採用雲端支援或雲端原生的應用程式,其基礎就是混合雲架構。

儘管企業對速度的要求很高,但光憑這點還不夠,企業必須要能妥善保護自己的混合雲環境,解決雲端移轉所帶來的挑戰,包括不斷演進的威脅以及不斷擴大的受攻擊面。雖然混合雲存在著這些麻煩,但它依然迅速掀起了一股風潮,成了企業營運的基礎。不過,要妥善保護自己的混合雲,企業必須具備正確的心態和資安工具。

雲端移轉四大挑戰

當企業為了將現有基礎架構現代化而移轉至雲端時,往往將面臨許多可能影響效能和成本的資安與整合問題,尤其當應用程式移轉至一個不適切的雲端環境時,很可能會造成應用程式效能降低,抑或是增加企業成本。混合雲環境的挑戰又更加嚴峻,因為企業必須試圖整合各種不同的設計原則與最佳資安實務原則,這正是為何確保雲端移轉的順暢與安全,是企業至關重要的一項任務。

不僅如此,企業還必須達成法規遵循的要求,其中之一例如美國1996年健康保險可攜性與責任法案(HIPAA),此法案訂定了醫院、療養院、私人診所等需處理敏感醫療資料的醫療機構所必須遵守的標準和規範。在營運上採用混合雲環境的機構,必須確保其連接的雲端環境(以及雲端上的敏感資源)都受到妥善防護以免因違反法規而導致資料外洩,招致鉅額罰款。

除此之外,雲端移轉還可能發生組態設定錯誤的問題,這經常發生在檔案儲存貯體(Bucket)以及使用者介面,進而造成個人身分識別資訊(PII)外洩。組態設定錯誤有時候單純只是使用者的疏失(例如AWS S3儲存貯體未設定安全性與加密),但卻可能造成客戶資料或營運關鍵資產暴露在外。 雲端移轉還有另一項挑戰就是可能不小心發生資料外洩。2019年,Capital One發生了一起嚴重的雲端伺服器資料外洩事件,洩漏了1億名客戶與申請人的個人資訊。同年,網路犯罪集團竊取了Imperva的AWS API金鑰,造成Imperva發生資料外洩,洩漏了客戶的敏感資料,這事件就是在該公司進行了資料庫移轉之後才引起。

網路資安人才短缺的問題也是困擾全球近50%企業的一項挑戰,2018年全球短缺將近300萬名人才,這不僅影響企業的營運,更帶來資安的風險。由於網路資安人才短缺,使得許多企業機構都無法組成一個具備相關專長以確保各類雲端應用程式及平台安全的資安團隊。根據Logic Monitor的一項調查,58%的企業覺得缺乏雲端經驗是他們當今人員編制的一大挑戰。

兼顧系統安全與雲端移轉

企業必須花費時間來好好認識雲端,包括雲端的資安功能、設定,以及如何修改登入憑證和權限。除了定期檢查自己的雲端資產是否存在組態設定問題之外,企業也應建置具備進階、整合及適應能力的資安解決方案,以提供即時的防護並確保隨時達成法規遵循要求。

持續演進的威脅

不僅網路威脅日益猖狂,惡意程式變種也越來越兇惡。企業無時無刻都在面臨資安威脅,這些威脅很可能衝擊企業的生存:據估計,金融機構每年可能損失的金額約在1,000至3,000億美元之譜。此外,企業正紛紛移轉至雲端來改善資訊基礎架構和流程,但網路犯罪集團也迅速跟著轉移戰場,開發專為雲端平台及應用程式設計的威脅。

歹徒還有另一種新的獲利來源,那就是虛擬加密貨幣挖礦惡意程式。這些惡意程式已開始攻擊雲端基礎架構,包括入侵容器管理平台、注入惡意Docker容器、竊取API金鑰以及攻擊控控制台介面。去年約有2,000多台Docker主機被駭客感染門羅幣(Monero)挖礦惡意程式。

此外,雲端應用程式若未套用修補更新或缺乏資安防護,很可能也會發生資料外洩,既可能造成企業數百萬美元的營業損失與罰款,更可能洩漏客戶的個人身分識別資訊。根據趨勢科技2020年資安預測,容器元件的漏洞將是今年DevOps團隊最需關心的資安問題之一。近來Microsoft Azure混合雲基礎架構被發現了兩個漏洞(CVE-2019-1372和CVE-2019-1234)可讓駭客執行任意程式碼,並對Azure Stack資源發出內部請求。

威脅持續演進主動防範更有助益

隨著企業移轉至雲端,網路犯罪集團也開始覬覦雲端,企業必須擁有一套能靈活保護整個混合雲基礎架構的資安解決方案。一些採用入侵防護與虛擬修補技術來主動防範網路威脅與漏洞攻擊的解決方案,對企業將有很大幫助。雲端環境的應用程式與軟體需要能夠防範漏洞、資料竊盜及漏洞攻擊的資安防護,至於網路資安防護,則必須要能自動鎖定系統,並藉由自動化的一致性監控與記錄檔檢查來提供即時的警示,以防範連網環境中的非預期性變更。

不斷擴大的受攻擊面

到了混合雲環境之後,企業的受攻擊面將會擴大,因為當企業為了追求能夠盡快建構及部署產品時,需要交互連結各種應用程式、軟體、服務、平台以及網路,而這一切都需要一套全方位防護。尤其,因為第三方程式庫而遭到程式碼注入攻擊的雲端平台數量越來越多。

去年,我們發現了一個利用開放原始碼DevOps工具Docker Engine-Community API組態設定錯誤的攻擊案例。駭客藉由組態設定錯誤讓容器感染了各種AESDDoS殭屍網路惡意程式。這些對DevOps非常重要的容器,在開發流程的各個不同階段都面臨不同的威脅和風險,包括容器的映像、原始程式碼以及登錄等。

此外,網路犯罪集團還會攻擊軟體供應鏈的其他環節,例如服務供應商。這就是SmarterASP.net 所發生的狀況,這是一家網站應用程式架構ASP.NET的服務供應商,該廠商遭到勒索病毒攻擊。我們更預測,無伺服器平台也將因組態設定錯誤與程式碼漏洞而帶來更大的受攻擊面。

掌握可視性發掘問題盡速矯正

儘管各種應用程式、軟體、平台的連結讓企業能夠迅速建立並同時執行多個工作負載,但企業對於這些彼此交錯的不同技術並不一定能完全掌握其可視性。企業內部與委外資安團隊,需要能確實掌握可視性,才能發掘資安問題並盡速加以矯正。此外,亦可考慮導入如趨勢科技Hybrid Cloud Security的混合雲解決方案,透過簡化、自動化的防護,讓企業將防護融入DevOps流程,並藉由多重威脅防禦技巧來保障運算時期的實體、虛擬及雲端工作負載安全。

<本文作者:本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!