為保障顧客雲端資產,各雲端平台所提供的資安工具與功能有其差異。
文/Neal Weinberg‧譯/Nica Liu
公有雲的安全,是以責任共擔(shared responsibility)的概念為前提:大型雲端服務供應商提供安全的、超大規模的環境,然而,保護客戶放進雲端的所有內容仍取決於顧客。這樣的責任分擔在企業移往單一雲端時會變得棘手,在多重雲端的環境下,會變得更加複雜。
CISO的挑戰,是確認雲端服務三巨頭:Amazon AWS、MIcrosoft Azure 與 Google Cloud 所提供的雲端平台在安全與彈性方面有何差異?哪一間提供最好的原生工具以保護你的雲端資產?同時,要怎麼讓專家們同意,所有超大規模雲端供應商會把雲端本身保護好?畢竟,提供安心、安全的環境,是他們經營模式的核心。相較於預算有限的企業,雲端服務供應商就像擁有無盡資源。它們有技術專業,以及正如 TechTarget 旗下 Enterprise Strategy Group 資深分析師 Doug Cahill 所指出的:「它們遍及全球無所不在、所有備援機房(availability zones)、存在點、整個地球的暗光纖(備用網路),讓他們每天見識難以計數的惡意活動,依能見度而擁有了強化防禦的最佳位置。」
[ 推薦閱讀: 公有雲物聯網服務與啤酒廠導入案例 ]
「即便三巨頭傾向保有內部處理與程序的秘密,但它們在維護資料中心實體安全、防禦內部攻擊,與保障應用程式和開發平台執行上的虛擬化層級安全這些工作上,全都表現優異」,Securosis分析師暨執行長 Richard Mogull 如此表示。
三巨頭皆透過API揭露更多服務,試著減少與共擔責任模式相關的所有混淆與摩擦。「每個平台都有陷阱。」Mogull表示。企業組織的挑戰在於瞭解界線在哪與跨多重雲端大規模配置所需的安全性。
然而,Mogull認為三巨頭的差異,也反映在相對的市場佔有率上。由市場分析機構Canalys所作的2020年雲端服務收入分析指出,AWS擁有 31% 最大市佔率。Azure正苦苦追趕,20% 暫居第二。後起之秀Google 7% 落於第三。
Amazon Web Services (AWS)
AWS是品牌最老也是最成熟的雲端服務供應商。「AWS最大優勢是身為具主導權的供應商,已具備豐富的知識與手段。顧客可以很輕鬆獲得解答、找到協助與尋得支援的工具。平台的整體成熟度與範疇都是最優異的。」Mogull說道。
Amazon共擔資安(shared security)模式明定,該公司負責的是底層雲端基礎架構的安全性,會員則負責佈署於雲端內工作負載的安全。明確指出,客戶負責的是:
- 保護客戶資料。
- 保障平台、應用程式與作業系統安全。
- 實施身份識別與存取管理(IAM)。
- 設定防火牆。
- 為客戶端資料、伺服器端檔案系統與網路封包進行加密。
[ 推薦閱讀: 升級雲端 ─ 談企業應用程式現代化升級三階段 ]
AWS提供給客戶的各種服務:
- API活動監控。
- 基本威脅情報。
- 網站應用程式防火牆(WAF)。
- 資料外洩保護。
- 弱點評估。
- 自動化資安事件觸發。
AWS的預設安全性組態也做得相當嚴謹。
Mogull補充說道:「AWS最佳資安功能其中兩個就是絕佳的安全性群組(防火牆)實作與設計精細的IAM。」不過,AWS資安政策,是以除非確切啟動存取權否則服務彼此隔絕為基礎。這種運作方式就資安角度而言相當不錯,但卻讓不得不做的企業級管理更難,也增添大規模管理IAM的難度,Mogull表示。「撇除這些限制,AWS可以說是最佳起點,遇到的資安問題會是最少的。」
Microsoft Azure
Microsoft Azure 也是以類似的共擔責任模式為基礎。例如,以基礎架構即服務(IaaS)方案而言,客戶負責資料歸類與問責、客戶端與端點保護、身份識別與存取管理、應用層與網路層控制。Mogull認為Azure與AWS相較就是「在成熟度方面較為粗糙」,尤其是一致性、文件,以及諸多服務預設安全性設定考量較少。
[ 推薦閱讀: 金融上雲條件呼之欲出 Azure合規範本推波助瀾 ]
Azure還是略具優勢。Azure Active Directory 可連結企業 AD,提供身份驗證與權限管理真正的單一來源,意即萬物皆可透過單一目錄管理。這部份的取捨在於:管理更簡單也更一致,但與AWS相較之下環境彼此之間欠缺隔絕性也缺乏保護。另一方面,Azure的識別與存取管理相當注重分層,比AWS易於管理,但AWS可以做得更加精細,Mogull表示。
Azure有另兩個對企業用戶相當重要的功能:活動事件記錄檔,預設涵蓋整體企業所有領域的控制台與API活動。以及,Azure Security Center 管理控制台囊括整體企業,還可以調整設定,讓當地團隊能夠管理屬於自己的警示。
Google Cloud
Google Cloud「建立在Google長期工程與全球營運的基礎上,令人讚嘆。」Mogull說道。Google提供穩健的內建資安工具,包括:
- 雲端外洩防護。
- 金鑰管理。
- 資產庫存清單。
- 加密。
- 防火牆。
- 防護式虛擬機器。
Google的 Security Command Center 提供集中化的能見度與控制,讓客戶能夠察覺不當設定與弱點、監控合規性與偵測威脅。Google透過收購的Stackdriver(如今已擴充並更名為 Google Cloud Operations),提供優質的監控與事件紀錄分析。Google還透過 BeyondCorp Enterprise Zero Trust 平台,提供身份識別與存取控制。
Mogull表示,Google 7% 的市佔率是個問題,因為具有深度 Google Cloud 經驗的資安專家偏少,繼而健全的社群不多、工具也偏少。他補充道,Google Cloud 提供健全的集中管理與審慎的預設安全性設定,這是相當重要的考量。整體來看,Google Cloud「並不像AWS那樣成熟」,也沒有同樣的資安功能廣泛度。
內部訓練與技術是關鍵
這些超規模業者為企業提供最佳實作、指導方針、原生控制手段、工具與流程記錄的能見度,甚至還能警告企業組織何處有不當設定,但「會員有責任依最佳實作執行動作、回應警告、佈署適切控制以保障置入雲端的所有資產。」Cahill表示。
意即,你有持續性的責任,包括「慎審管理存取控制、監控雲端環境是否有資安威脅、實施定期滲透測試,與徹底為員工進行雲端資安最佳實作的訓練。」聖地牙哥大學網路安全營運與領導力項目理科碩士班學年主任 Michelle Moore 博士如此表示。
[ 下載 2020-21 CIO大調查報告,掌握企業雲端趨勢 ]
Mogull認同在各公有雲領域培養內部專業的重要性。他認為企業在實作雲端安全性時,會犯下的嚴重錯誤有三:
- 認為雲端安全性就像現在對資料中心或私有雲做的事一樣。「每個平台,在根本基礎上就有所差異。表面上看起來熟悉,其實你一點也不認識表層下的它們。」企業組織要在雲端取得成功,必須建立對該技術平台的深度認識。「除非擁有這些技能,否則沒有機會成功。」Mogull說道。
- 企業組織還沒做好準備就遷往多重雲端的世界。若公司組織想要移往三大雲端,必須在這三大雲端環境裡一一開發內部專業。Mogull建議公司企業放慢腳步,在跳進下一個雲端前,先在一個雲端累積專業。
- 不注重管理。絕大多數雲端相關的外洩事件,都涉及憑證遺失或遭竊,這終究仍是管理上的缺失。
ahill同意這個說法。「將資料中心委外給協力廠商,是一種抽象概念。你是與服務的API互動。」他補充道,最大錯誤在於企業組織為雲端服務做了不當設定、錯誤組態物件儲存(開放 S3 buckets),然後將憑證或API金鑰留在公開儲存庫。雲端控制台以容易破解的密碼保護,而非多因驗證,極為常見。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
為保障雲端內的企業資料,Cahill提出以下建議:
- 熟練掌握雲端資安共擔責任模式,瞭解界線在哪。
- 重視強化雲端組態設定。
- 對人類與非人雲端身份,皆實施最低特權存取。
- 實施自動化,讓資安跟上DevOps速度,自動化整個應用程式生命周期的安全性整合。
- 確保安全性實作可以在所有團隊間重複。大型企業組織要有實施自有安全性控制的多個專案團隊。
- 採由上而下處理方式,讓整體所有專案團隊的資安政策達到一致。
( 本文授權非營利轉載,請註明出處:CIO Taiwan )