HOME > 新聞與活動 > 最新消息 
加密為雲端資料多一層安全保障

資訊安全市場變化速度不僅快更高深莫測,在駭客攻擊火力日益猛烈的現今,如果企業只是套用傳統資安觀念,將無法做好資料防護的工作。

 

SafeNet亞太區副總裁陳泓指出,以前大家習慣把機密資料隔絕起來,透過防火牆、IPSIDS等網路安全設備來阻擋駭客攻擊,就好像把人們把珠寶放在家裡,再透過一道又一道的複雜門鎖來避免小偷,但隨著資安攻擊手法日益精進,傳統這種Alert式安全技術已經不再是唯一防護措施。

 

過去20~30年間,在我們用盡一切努力與技術去預防資料外洩事件後,終於有了新的體悟,那就是接受資料外洩事件會發生的可能性。換句話說,資料洩露不是會不會發生的問題,而是一個遲早、何時會發生的問題,當企業已經建立「資料外洩事件一定會發生」的心態後,在處理安全技術上面的手段就會不一樣。

 

舉例來說,將資料加密存放降低對駭客的吸引力(因為駭客並不喜歡被加密保護過的資料),即便真的外洩了,企業損失也有限,另外,並不是所有資料都需要被保護,應該把資源放在最敏感最機密的資料上。對此,中研院資訊安全組組長叢培侃也有相同看法。

 

他指出,資訊應用無限、資安防禦有限,企業很難避免資安攻擊事件發生,只能面對它、接受它、處理它、放下它。尤其「處理」兩個字特別重要,畢竟現實世界中,無論任何一種資安防禦設施都無法做到100%的偵測率,企業與其一味地提高偵測率,不如將成本投資在資安事件處理上,透過加快對於受害電腦的事件處理速度,來降低損害成本。

 

20133月發生的南韓大規模當機事件(DarkSeoul)為例,少數幾家受駭機構在2個小時後就恢復業務運作,降低電腦當機造成的營運損失。320日下午2點約莫6個金融媒體機構發生電腦當機無法重新啟動的狀況,受駭機構除了通報政府單位KCC(類似台灣NCC角色)KISA(南韓政府資訊安全專責單位),並進行緊急事件處理,新韓銀行立即斷開SSC終端機存取伺服器與更新防毒patch的路徑,並在2個小時內重灌系統,於下午350分左右恢復正常營運,另一家受駭企業農協銀行也在半小時後,下午420分業務恢復正常運作,並於4天後重新設定防火牆政策(擋住不必要的port)以強化安全。

 

 

[雲端環境全新架構資安防禦也要革命]

隨著企業逐步邁向雲端時代,叢培侃認為,未來資安攻擊成本將會越來越低,且會朝向以下幾個方向去發展:

 

第一、攻擊程式低調潛伏於內部組織中,伺機發動攻擊;

 

第二、阻斷式服務攻擊成本低廉效果立見;

 

第三、階段式攻擊:由內而外尋找可利用點;

 

第四、利用組織內部正常派送或管理系統弱點。

 

當然,雲端運算不只降低駭客攻擊成本,對企業來說,使用雲端服務也是一個降低管理成本且兼具彈性的作法,只是雲端服務的安全性,往往是造成企業裏足不前的原因。

 

雲端安全聯盟(Cloud Security AllianceCSA)台灣分會創辦人蔡一郎指出,2013年雲端服務威脅主要有以下9種:資料洩露、資料遺失、帳戶劫持、不安全的API、阻斷服務、惡意的內部人員、濫用與惡意的使用、未盡職責的調查、及共享技術的議題。

 

其實,關於雲端安全的議題,早在2009RSA Conference就已受到重視,CSA便是在當時由眾多廠商共同成立,並在2011年發布了新版的《雲端安全指南 v3.0》,這份指南分成3個部分共14個領域,可做為企業評估雲端服務安全的參考。SafeNet技術長Slawek Ligier表示,雲端環境可以為企業節省支出,專注在核心業務上,但是雲端運算也改變了企業對IT的管控方式。

 

在私有雲情境下,企業可以管控雲端平台內的所有項目,包括APDataRuntime、中介軟體(MiddleWare)O/S、虛擬化、伺服器、儲存、及網路。但在公有雲情境下,企業所能管控的項目就變少了,如果是IaaS模式,企業所能控制的只有APDataRuntimeMiddleWareO/S;而PaaS模式,企業所能管理的項目就更少了只剩下APData;到了SaaS模式,則是全部交由雲端廠商來維運管理。

 

即便如此,企業所能管控的範圍變小了,仍應負起維護雲端資料安全的管控重任,因此,SafeNet針對虛擬化和雲端環境推出以下三種加密解決方案,為企業把關雲端資料安全:

 

1.Crypto Hypervisor:將HSM硬體加密模組虛擬化,以適用於虛擬和雲端環境的作業模式,包括虛擬機器本身以及相關的應用程式與內容,都可以進行加密。

 

2.ProtectV:保障VM與雲端基礎架構,確保Guest OS在搬移時的資料安全。

 

3.Cryptocard:雲端身分認證服務:透過SAMLAPIRADIUSAgent方式與多數網路設備、公/私有雲以及自行開發的系統整合,並支援多種認證器,如:OTP TokenSMS Token以及在智慧型手機上安裝Token app,提供使用者選取使用。

 

SafeNet亞太區資安顧問經理伍尚池進一步指出,從調查公司Verizon近期所出的資料外洩調查報告中可以看出雙因素認證的重要性,包括VPNIntranet、雲端服務、BYOD等應用都適合導入雙因素認證機制,但目前有這麼做的企業並不多,背後原因就在於成本,企業要維運身分認證設備必須投入大量的人力與金錢,同時還可能面臨支援度問題,如是否支援遠端登錄等。

採用雲端身分認證服務不僅可以降低維運人力,在投資成本上也相對較為划算,可以說每個人每個月只要付出一杯咖啡的成本,就能享受雲端身分認證服務,而且Cryptocard支援多種認證設備,在應用上也變得更有彈性。

早期雙因素認證多半採用硬體Token,現在隨著智慧型手機普及,使用軟體將動態密碼Push在手機上的比例也就越來越高,而Cryptocard雲端身分認證服務也是採用相同作法,不另外販售Token,而是裝在手機上(Token APP),且支援各種不同手機作業系統,包括AndroidWindowsiOSBlackBerry,此外,消費者若沒有使用智慧型手機,也可透過SMS簡訊方式來接收動態密碼。

前述提及,資料外洩是企業早晚要面對的問題,如何增加駭客竊取資料的成本,成為企業進行資安防禦的另一種思維,以下介紹四種不同的加密應用模式,為企業機敏資料多加一層防護傘,即便外洩也讓駭客拿不到原始資料。


[
雲端儲存安全防護  避免資料外洩風險]

企業在導入虛擬化初期的確可以享受到降低伺服器管理成本的效益,因為實體伺服器數量大幅減少,透過管理平台就能同時監控上千、上百台虛擬伺服器,但是儲存設備管理問題卻漸漸地浮上檯面。因為企業在POC與正式導入階段,可能採用不同廠商的產品,就算是同一個廠商也可能是不同型號,導致IT人員要學習好幾種儲存設備架構,因而增加管理負擔。

NetApp
資深技術顧問陳勇維建議企業,最好採用可以和現有虛擬化廠商整合的雲端儲存平台,簡化管理作業,同時要具備安全防護功能,像是內建防毒軟體、資料存進來就自動掃毒,或是硬碟直接加密,另外因應BYOD趨勢,越來越多人透過行動裝置分享資料,企業最好能自建雲端儲存服務,在行動裝置上建立一個存放資料的專屬加密空間,MIS可自訂使用者存取權限,針對適當的人員、裝置、時間授予正確資訊,避免員工採用Dropbox之類的公有雲儲存服務,確保安全防禦不因行動應用而受到影響。


[
虛擬環境下的資料保護]

目前企業在發展虛擬化時,不外乎以下幾種應用模式:AP伺服器、郵件伺服器、檔案伺服器、資料中心等,幾乎企業的所有資料都有可能在虛擬環境中運作,如何做好資料保護,就是一個企業值得關注的議題。

聚碩科技產品經理陳擎民認為,企業的資料加密保護機制應該涵蓋以下四個面向:虛擬環境保護、儲存環境保護、資料庫加密、資料遮罩,才能安心地把資料放在雲端。

第一、虛擬環境的資料加密,是件非常重要的事,在VM架構下的Guest OS可以很容易地在不同機器間搬移,所以Guest OS資料需要被加密金鑰保護,當使用者要啟動Guest OS時必須經過金鑰比對,如果一致才能打開,以避免有心人士私自複製Guest OS並帶離企業環境,這樣的應用模式在公雲環境下同樣適用,只要將加密伺服器放在自家機房,當未來企業不再租用雲端服務廠商的OS時,便刪除加密伺服器中的金鑰,就能避免雲服務廠商未落實砍掉Guest OS的資料外洩風險。

第二、儲存環境資料保護,虛擬化架構後面一定有個實體儲存設備,所有存放在其中的資料都必須是加密的,而使用者只能在自身權限範圍內進行存放/讀取檔案的動作,這與文件加解密的差異在於,前者有支援檔案格式的問題,後者沒有,而且還有Log可以做稽核,可以記錄誰把資料帶走。

第三、資料遮罩強調的特點在於落地遮罩,也就是資料一進入DB就是變造過的形式,與其他解決方案採用動態遮罩方式,資料明碼存放於資料庫,等到有人來下Query時再遮罩送出的做法不同,好處在於可以防止有權限人士非法匯出或DBA監守自盜。

第四、資料庫加密,除非有金鑰否則只能取得加密過的資料或假資料,一來可防止駭客,二來可避免DBA權限過大,如果沒有做DB加密,很可能從底層把資料都帶走的風險。另外,某些資料庫廠商本身就提供加密功能,但其加密元件多半安裝在主機上,容易拖累資料庫存取效能,而且還要另外買HSM來管理金鑰,其投資效益未必比較好。


[
報廢儲存設備  確實銷毀資料了嗎?]

過往企業資料外洩事件原因,有很高比例來自於廢棄硬碟/磁帶,理論上來說,企業在淘汰磁帶、硬碟等儲存設備前,應該先把其中的資料銷毀才對,較常見的銷毀方式就是透過消磁機或採用物理破壞方式,但有時候因為管理上的疏失,忘了銷毀資料就丟棄設備,或是把磁帶攜出公司卻不慎遺失,導致企業資料外洩。

因此,Brocade資深技術顧問林奇志認為,直接在硬帶或磁碟上做加密,等於是多了一層保障,即便不小心發生人為或管理疏失,也不用擔心資料外洩風險。然而,對於導入光纖通道儲存區域網路(FC-SAN)的企業來說,如果採用Storage-Based的加密解決方案,在終端儲存設備做加密,很容易對效能造成或高或低的影響,畢竟儲存設備除了要頻繁地提供給前端主機做存取之外,有時可能還要負擔異地備援(DR)的任務,這些都會耗用掉控制器的資源,如果還要在上面導入加密機制,當然在效能上就會互相牽制。

比較理想的方式是採用FC-Based的加密解決方案,也就是在光纖網路上進行加密設定,企業可以依照自身需求去指定要對哪個LAN做加密,既簡單又彈性,更不必擔心加密對儲存設備效能的影響。


[
行動付款  結合身分認證避免爭議]

智慧型手機普及,促使行動付款應用日趨成熟,除了目前常被討論的NFC技術外,中華電信經理劉根田指出,國外也有許多企業將二維條碼(QR Code)應用在行動付款上,消費者只要在手機上下載QR Code行動付款APP,並登錄信用卡或活期帳戶、個人基本資料,完成認證後,就可啟用手機錢包功能,日後購物,只要持手機讀取POS設備上所產生的QR Code,就能從預設的信用卡或存款戶頭中扣款。面對雲端運算的到來,企業除了擁抱它、享受雲端效益外,更別忘了要做好資料安全加密保護,才能真正駕虛擬躍雲端。