資安治理與特權帳號管理(PAM)在 2024 依然是不容忽視的重要議題。伴隨企業積極上雲與數位轉型,IT 應用環境日趨複雜,連帶讓過往的網路防禦邊界不再適用,許多企業開始尋求專業資安顧問團隊,協助強化企業資安措施,以防接踵而來的新攻擊與新漏洞。
聚上雲提供雲地資安解決方案
Epic Cloud 聚上雲是國內少數具備企業核心應用規劃與建置經驗(如 ERP)的專業雲服務廠商,熟諗雲地資安架構,不僅具有 Google Cloud Infrastructure Specialization 等證照,更深諳企業雲地資安保全之道。為協助企業建立良好的資安基礎建設與防護力度,聚上雲攜手位居 PAM (特權帳號管理)領導地位的資安廠牌「Delinea」、美商動信安全「GoTrust」,以及國內知名 ERP 業者「鼎新電腦」,共同演繹如何在快速、合規、有限投資等前提下,建構企業資安建設,以利企業從容應對各種資安挑戰,順利實現永續經營與穩健發展。
Delinea 守護特權帳號,使攻擊者無機可乘
Epic Cloud 聚上雲業務經理劉宇倫談及,現今駭客攻擊已發展為組織型犯罪,有人負責製作惡意軟體,再交由犯罪集團部署。假使企業未建立特權帳號管理機制(PAM),將導致攻擊者輕易取得高權限,讓犯罪者有機會發動勒索攻擊。為杜絕上述禍患,企業需導入像是 Delinea 這類的 PAM 方案,藉以控制網域或本機管理帳號,有效納管網路/資安設備 Admin 帳號、緊急帳號、服務帳號、RPA 帳號或 DBA 帳號 ⋯ 等特權使用者的存取行為,全力遏止犯罪者盜取特權、進行破壞。
受 PAM 納管的常見使用場景
論及 Delinea PAM 使用方式,首先,可綁定像是 GoTrust 等實體金鑰設備,進行互動式登入;其次,可針對 API 權限執行控管;另支援一般網路設備慣用的 SSH、RDP 與 VPN 連線方式,抑或存取雲服務所採用的瀏覽器連接模式。
在一般情況下,常見被 Delinea PAM 納管的標的,包括 ERP 或 CRM 等敏感數據、網路設備或防火牆等裝置、公有雲平台,甚或近年風行的 CI/CD、Kubernetes、Jenkins 或 Docker 等現代化開發環境。
透析 Delinea 從導入到POC再到Go Live
聚上雲副總朱驛清談及,企業若欲導入 Delinea PAM,從展開產品教育訓練、啟動專案、定義未來流程,安裝 PAM 軟體,直至完成系統整合測試、使用者測試、安排系統上線建置,透過聚上的協助,可望於 3 週內部署完畢。而 POC 項目則包含:系統/資料庫帳號自動化管理、代登入連線作業、連線側錄、指令與 Keystroke 側錄、密碼一致性管理、金鑰庫管理,以及特權活動稽核表。
Delinea 3 步驟,維繫特權帳號安全
- 第 1 步:依據企業設定的時間頻率,如 30 天、60 天或 90 天定期強制變更密碼,甚至每次登入都更換密碼亦可。
- 第 2 步:綁定 2FA 或 MFA 工具,須驗證登入者確實為本人,才准予登入。
- 第 3 步:允許企業自定存取流程,例如 MIS 欲使用特權時,須經由主管同意。
Delinea PAM,三週內完成部署
- 階段 1:先建立信任,將裝置的帳密全數交由 Delinea 納管。
- 階段 2:接著建立確立身分的機制。
- 階段 3:再來建構情景化請求流程,依據不同部門或同仁所使用的系統、設備,執行客製化工單申請。
- 階段 4:最終希望大家皆能以一般使用者狀態執行登入,之後不再開放最高權限使用。
聚上雲限時免費提供Delinea 導入建置服務
目前多起攻擊事件皆透過特權帳號進行,這些攻擊不分產業規模。Delinea 為企業提供整合、可擴展的解決方案,保護企業的特權帳戶,大幅降低使用者的資安風險。Epic Cloud 聚上雲特別推出低門檻的 Delinea 限時優惠,並獨家贈送導入 & 安裝建置服務,讓中小企業不僅能輕鬆導入無負擔,還能享受大型企業等級的資安規格。
GoTrust 實體金鑰與 MFA,杜絕非法登入+免除惱人密碼
在無密碼應用方面,美商動信安全(GoTrust)研發副總經理李正隆,則分享如何善用實體金鑰與多因子驗證來守護企業應用。李正隆強調,不管談到資安治理或維運,都經常提及一個共通要素、便是身分認證(或稱身分鑑別),係因許多網路攻擊皆以「身分」為起始點。
GoTrust 秉持「讓企業沒有非法的登入、讓員工沒有惱人的密碼」使命,在零信任框架下致力發展完善的身分鑑別方案,要求權杖(Credential)持有人接受再一次驗證,而非直接進行存取。換言之,GoTrust 站第一道防線,在所有網路連線至資訊系統時,要求連線所有人須證明其身分,連同持有的裝置亦需獲得核可。
- 特色1:GoTrust 依據行政院資安院提出的「零信任架構身鑑別功能」規範,搭配夥伴 Array 的助力,於零信任架構中間層提供存取閘道,要求使用者只能藉此存取內部伺服器。
- 特色2:GoTrust 提供 GoTrust ID Server 身分認證系統,不僅支援 SSO、MFA 和免密碼登入等機制,也透過各式 Adapter 協助使用者串接 ERP、VPN、VDI、M365 等不同服務。
- 特色3:GoTrust 為使用者提供生物鑑別器,且包含手機 App、USB 實體金鑰等不同形式,如 GoTrust Idem Key 便是全球第一個取得 IP68 防水防塵及 FIDO2 L2安全級別的安全金鑰。
鼎新提倡 PDCA 運作架構,強化企業資安治理
鼎新電腦數位科技運營中心資安產品組副理林崇裕,則引述 Delinea 針對亞太區2,000 餘家企業資安決策者所做的調查,發現多數企業未將資安視為業務策略的一環,僅流於頭痛醫頭、腳痛醫腳,缺乏從計畫段、執行段到稽核段等完整PDCA 治理運作。
深究資安治理概念,應涵蓋策略、管理、技術三大關鍵要素。所謂策略,意指經營決策階層須支持做好資安;至於管理,意指制定並落實管理程序;有關技術,則是導入網路段、端點段、人員段 ⋯ 等相關防禦機制。
而資安治理的執行要領為 PDCA,先建立組織及政策,接著展開合規及法遵盤點、風險評估與管理、教育訓練、技術性措施,藉由定期稽查來確認資安治理架構是否如常運作,適時檢討與修正缺失、尋求精進。
Epic Cloud 聚上雲:值得您信賴的雲地資安守護團隊
作為國內唯一具備企業核心應用規劃與建置經驗的雲服務廠商,Epic Cloud 聚上雲不僅是 Google Cloud 大中華區菁英級合作夥伴,且熟諗雲地資安架構和雲地資安保全之道。面向日趨嚴峻的資安挑戰,聚上雲與 Delinea、GoTrust 及業界夥伴持續緊密合作,協助企業建立涵蓋 Access Manager、PAM、IAM 等完整身分安全機制,輔導企業結合策略、管理和技術三大面向,讓資安由上而下扎根,打造永續經營的強韌基底。
