混合雲可說是數位化轉型過程中必然的現象,受到COVID-19疫情影響變得較以往更加普及,只是當前的目的主要是為了避免營運中斷。
過去透過實體邊界、網路與資安設備搭建的防護架構,實際上無法完整地複製到雲端平台,無法避免須制定兩套不同管理政策與措施。趨勢科技專為雲端安全發展的Cloud One,以既有的Deep Security為基礎,整合2019年收購的新創公司Cloud Conformity,提供Workload(工作負載)、Application、Network、Container(容器)、File Storage,以及Conformity安全機制,協助混合雲架構建立有效降低風險的保護措施。
趨勢科技技術總監戴燊觀察,過去企業防護邏輯主要部署於邊界,自從COVID-19疫情爆發後,許多企業緊急實施居家辦公,使得IT人員措手不及,必須先行開放外部存取部署在內網的關鍵應用系統,同時允許採用私人的App來執行工作任務,以確保生產力。於此同時,前端應用系統也開始被遷移到雲端平台上,以便於員工隨時隨地VPN連線存取。
只是如此一來勢必帶來稽核控管、可承受的資安風險權數改變。過去禁止員工採用的App、雲端儲存空間,如今皆得先行開放使用,相關的資安風險勢必會提高,控管措施也須同步跟進,以免被攻擊者利用進行滲透。「否則除非如同趨勢科技管控政策,不論在公司或居家辦公,採用的設備、作業系統、應用程式,都是由IT部門統一配發,完全不開放私人的筆電與手機接取到公司內部資源,資安風險才能維持在可控。」戴燊說。
依據應用場景掌握雲端安全風險環節
原本的防禦架構無法完整套用到雲端平台,影響最大的莫過於既有IT部門,戴燊指出,過去IT架構以邊界防禦為主要思維,遷移到公有雲平台之後考量層面較以往更多,尤其是部署架構無法百分之百複製,觀念的改變對IT或資安人員來說需要時間,初期勢必會遭遇到阻力;另一個問題是程式開發流程的改變,演進到雲端原生開發環境,需要開發團隊與維運團隊協同合作,才能展現出效益。
以往企業對於雲端環境熟悉度不足,主要是因為思維無法扭轉,仍舊維持在生產導向的企業文化,資安通常是最後才會考慮的問題。事實上,進入到雲端應用場域,必須意識到責任區分,例如作業系統、應用程式、檔案儲存區等範圍,企業得自行保護。再加上雲端原生開發流程採用的工具鏈,主要為開放原始碼所搭建,可能無意間採用到具有潛在弱點的版本,導致產品問世後爆發安全性問題。
DevOps團隊在開發階段須顧及安全性的環節,主要包含Workload、容器、無伺服器(Serverless)運作環境。戴燊不諱言,詢問雲端原生安全問題的企業相當少見,相較於其他國家,台灣採用雲端服務的腳步較慢,相關的資安議題亦無法跟進國際市場發展腳步。不過,雲端服務已成為數位化應用模式部署方式之一,對於特定產業而言,營運業務甚至已經深植於雲端平台提供的服務項目,勢必得重新釐清潛在的資安風險。
API介接整合DevOps流程輔助偵測
企業雲端化可分為兩個階段,首先是遷移,其次是發展雲端原生,不同階段有不同問題。對於實體機房中部署的應用系統、不同虛擬環境搭建的雲端平台上部署的應用、雲端原生開發的應用,IT可能要同時管理,複雜度相當高。
傳統IT人員較欠缺經驗,導致面對雲端時,無法精準掌握通訊協定、存取模式等,可能引發配置錯誤。或者是密碼強度不夠,攻擊者可取得合法的權限執行非法用途。
雲端服務的採購流程也不同,需求產生時立即增加,專案完成後立即撤銷,使得IT環境常態性變動,較以往IT管理模式差異極大。過去制定的IT管理規範已不合時宜,必須隨著架構轉換持續地演進。Trend Micro Cloud One即是因應雲端環境安全需求設計的服務項目,例如Network安全方面,可整合FPGA晶片,提供如同地端的TippingPoint入侵偵測系統防護機制;Workload安全是基於既有發展已相當成熟的Deep Security解決方案重新設計為雲端服務方式提供,代理程式可執行防毒、弱點屏蔽、應用程式白名單、異動監控、日誌集中控管等功能。
收購取得的新創公司Cloud Conformity,市場上歸類為CSPM(Cloud Security Posture Management)領域,如今已成為Cloud One平台上重要的服務項目,企業可依據雲端服務採用的進程選用合適防護機制。「該技術相對於地端,較偏向個資盤點、法規遵循等防護機制。」戴燊說。
File Storage、Application、Container等防護服務則可協助DevOps團隊在執行工作任務時兼顧安全性。File Storage是透過API建立自動化運行,藉此輔助開發者即時掃描儲存區域中存放的檔案,避免存在惡意程式;Application可針對Ruby、Python語言撰寫的無伺服器架構進行自動化保護,且無須變更程式碼即可運行;Container可用於掃描Pipeline建構的映像檔,以及Registry的位置(例如Docker Hub),在上線營運之前及時發現漏洞、惡意程式、合規性驗證。