為了因應企業應用改採公有雲的數量逐年增長,Radware除了持續發展擅長的應用交付控制器(ADC)等地端部署方案,也自2018年開始提出雲端原生保護(Cloud Native Protector,CNP)服務,讓技術已相當成熟的網頁應用程式防火牆(WAF)、DDoS攻擊緩解、惡意機器人防護等,得以為部署在公有雲平台的應用服務建立安全防護,同時也積極增添雲安全態勢管理(CSPM)、雲許可權管理(CIEM)以及雲威脅檢測和回應,以防止雲環境工作負載意外暴露、錯誤配置導致遭攻擊滲透。
Radware亞太區雲端架構師詹凱富指出,CNP雲服務可說是因應企業應用現況所發展,至今在國際間已累積許多實際案例例如Airbnb等,用戶即是看重Radware CNP雲安全服務具備的CSPM、CIEM,以及主動針對各種類型風險採取行動的能力,不論應用服務部署在AWS、Azure、Google等主流的公有雲應用環境皆可提供安全防護,讓數位化應用服務得以依據目標銷售族群或營運業務據點,選用最合適的公有雲平台。
輔助雲平台權限稽核與排除風險
公有雲服務供應商大多會提出共同責任聲明,例如AWS提供的IaaS,企業須自行部署與維運以確保作業系統、應用程式執行環境、機敏檔案的安全性。經過近年來市場教育,多數企業已理解雲端運算服務的責任歸屬模式,而此正是第三方資安廠商可協助防護數位資產之範圍。
詹凱富說明,公有雲平台的存取模式主要仰賴帳密登入並取得權限執行操作,藉由CIEM控管則可避免權限過高配置,以免不經意讓攻擊者掌握登入帳密,觸及企業核心資產。提出CIEM準則的用意,即是運用工具輔助配置雲端環境最小權限,同時記錄所有執行活動並定期產出稽核報告,讓IT管理者檢查各個帳號使用雲端服務的狀態,若發現授與權限卻從未使用,報表中亦可指出並建議調整配置的指引。
掌握用戶的權限存取狀態,除了可稽核權限,一旦偵測到特定帳戶行為偏離慣性,也要能夠執行回應,先行阻斷同時發出告警。「主流的公有雲服務供應商也有設計提供用戶訂閱CIEM服務,問題是較著重在稽核與提供報表,尚未能連結到觸發回應,仍須整合第三方資安技術才可完整實作。Radware本就是資安廠商,自然可較為完整。」詹凱富說。
量化分析引擎收斂事件排序優先等級
Radware CNP雲安全服務的另一個要項是CSPM。當應用服務部署到雲平台,須監控資產運行狀態,以因應不同垂直產業的法規要求,例如電商網站的信用卡支付須符合PCI-DSS標準等規範。針對雲端平台上提供的營運業務,得有工具輔助檢查合規性,即時發現錯誤的配置。
詹凱富以國際間實際發生的案例說明,知名的社交網站Timehop,曾遭駭客鎖定發動魚叉式釣魚攻擊,竊取到管理者的登入憑證進而存取RDS(關聯式資料庫服務),造成二千萬筆以上用戶個資外洩。CSPM即是為了控管諸如此類風險設計的雲服務,透過量化方式提出建議改善的配置與控管模式。
企業用戶若要採用Radware CNP雲安全服務,只要綁定公有雲平台註冊的帳戶,並且開放讓Radware服務擁有讀取權限,不需透過代理程式,即可撈取雲平台應用環境產生的資料運行分析,實作CSPM與CIEM,並且在CNP雲安全服務統一儀表板上查看全數公有雲應用服務的安全態勢。
他進一步說明,Radware CNP雲安全服務得以掌握每個帳戶在雲平台上登錄以及登錄後的所有操作記錄,是仰賴公有雲提供的日誌取用元件。以AWS為例,可取得Cloudtrail、Flow、作業系統、S3儲存環境等日誌,基於大數據平台進行日誌關聯分析,從事前、事中、事後的角度,監控雲平台上運行的資產。亦可依據違規行為風險評分定義等級高低,IT管理者可定義發生中級以上風險時發出告警,以便追蹤行為軌跡,避免爆發資安事故。總體來說,其核心價值在於輔助IT管理者從條列式記錄中快速發現問題,以圖形化儀表板操作介面呈現統計數據,並設計以不同顏色標示風險等級,滑鼠點擊高風險事件可進一步查看細節,此外,CNP分析引擎可指出帳號錯誤配置、可能發生資產暴露等問題環節,讓IT管理者依量化數據指示排定優先處理順序。
承擔雲端工作負載安全保護責任
論及合規性,現階段台灣討論較多的是雲端資料中心是否符合ISO規範,詹凱富認為,此議題僅限制公有雲服務供應商建置的資料中心,例如台灣金管會要求的合規,主要是針對公有雲服務供應商須符合國際標準規範。現階段探討只到這一步,然而若再更進階,部署在雲端資料中心的設備也得符合安全規範等級。
「當企業用戶評估部署的雲端資料中心時,資料中心必須提出可符合國際安全規範的項目,但並非等同於應用系統控管標準,畢竟雲端安全是近幾年才浮上檯面的議題,治理原則尚持續不斷地在討論與調整,目前尚未完善。」詹凱富說。
基於ISO/IEC 27002規範細項延伸的ISO/IEC 27017標準,主要是規範提供雲端服務供應商及雲端服務用戶的建置與維護安全準則。依照雲端環境制定控制和實作指導方針,讓服務供應商與用戶有規範可依循,例如雲端運算環境中的角色與職責共享、合約終止後移除和返還雲服務客戶資產、保護和隔離客戶的虛擬環境、虛擬和物理網路的安全性管理保持一致等要件。值得關注的還有ISO/IEC 27018:2019,目的在於保護雲端個資,此標準是以ISO/IEC 27002為基礎,增添公有雲服務供應商控管處理個人識別資訊(PII)的實作指引。
針對企業得自行負責的雲端工作負載安全,CSPM即可帶來助益。詹凱富表示,採用CSPM服務目的是了解部署在雲端平台的應用服務,是否符合產業要求的法規規範,以及運行配置的狀態是否出錯,採以量化方式提供所需的合規資訊。既然可偵測權限配置、合規性、錯誤設定、暴露資產等問題,採取回應行動的功能也得持續地優化,因此Radware針對雲端威脅設計的反制能力,運用了機器學習演算模型分析,讓蒐集取得的記錄持續餵入,以提高判讀與偵測風險環節的精準度。