最近更新文章
2017/12/15
2017 紅帽論壇:開源創新 始於個人
2017/12/15
遠傳攜手愛立信全台首演5G 下載飆速27Gbps
2017/12/15
TIBCO 聯手資拓宏宇開發"BankWiz 企業服務整合平台"
2017/12/15
日立Vantara新品牌策略 以數據驅動IoT未來
2017/12/15
依應用設定硬體組態 重新定位IT角色
2017/12/14
富士全錄全新六色量產型數位印刷機
2017/12/14
合勤推出全新三頻全覆蓋無線延伸系統
2017/12/14
Fortinet 2018預測報告:將出現高度毀滅性且能自我學習的群集網路攻擊
2017/12/14
凌羣雲端機器人-Ayuda智慧平台 獲頒2017雲端物聯網創新獎冠軍
2017/12/14
APT攻擊災損超乎想像
2017/12/14
遠交近攻助企業跨越門檻 混合雲應用不必再雙主修
2017/12/13
Forcepoint2018預測報告:安全威脅「隱私之戰」即將開打
2017/12/13
Aruba 創下Gartner六項企業存取網路使用案例評比皆冠
2017/12/13
用混合雲翻新應用架構 設備與服務齊頭並進
2017/12/12
威聯通發表「虛擬機工作站」技術白皮書
2017/12/12
由維運者賦予開發者體驗 實踐DevOps有捷徑
2017/12/12
實戰L3 IP Routing VPN 提升跨網段服務品質
2017/12/12
Wi-Fi體驗決定住房意願 飯店力拼網路基礎設施
2017/12/11
多雲資安上路 影子IT有解
2017/12/11
軟體定義儲存也要嚴選 東森得易購導入微軟S2D
2017/12/10
台灣 HITCON CTF 國際資安競賽 韓國隊Cykorkinesis拿下三連霸
2017/12/10
台灣艾默生網絡能源正式更名為台灣維諦
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/12/1

發展雲服務資安治理框架 徹底摒除防護盲點

資安不能兩套標準 納入雲端實踐全面管控

洪羿漣
近年來持續投入擴展雲端相關服務方案的Palo Alto Networks,對於雲端應用服務安全性問題,早在兩年前就已透過收購取得CirroSecure於雲端存取代理(CASB)領域技術,也就是現在的Aperture服務,可說是資安市場上較早教育市場的供應商之一,並且仍持續發展中。
日前發布的新版擴展支援AWS EC2、IAM,以及Amazon S3雲端儲存空間,協助企業避免發生類似於近來多起因組態設定錯誤、控管不當造成的資料外洩事件。

台灣企業面對全球高度蓬勃發展的雲端應用服務,Palo Alto Networks台灣區總經理尤惠生觀察,「過去多年來大家探討雲端運算,認為似乎言之過早,又有許多法規規範限制,例如金融業,使得發展的腳步已較其他國家落後。但是今年較特別的是,在微軟大力推廣Office 365的影響之下,促使本土企業逐漸接受雲端應用服務,因而衍生出的整合應用商機甚至比國際龍頭AWS更多。」

微軟與AWS兩大公有雲平台之所以有所差異,尤惠生認為,「AWS最初是從消費端、個人開發者市場切入,強調自助式服務以及節省實際硬體建置費用;微軟則從Exchange郵件伺服器以來,皆透過綿密的專家服務,提供企業營運所需的核心應用,因此當微軟大力推動Office 365,我們亦可搭配微軟合作夥伴,共同經營本地市場。甚至可進一步搭配桌機、伺服器的經銷商,引入Palo Alto的端點安全與Aperture雲服務方案,畢竟現代企業應用環境已進入多雲架構,外部威脅又刁鑽難防,終端與雲端皆必須鞏固安全性,才可降低資料外洩的風險。」

次世代防火牆延伸雲服務建立可視化

▲ Palo Alto Networks台灣區總經理尤惠生認為,資安建置必須取得平衡點,規畫設計一套適合自家應用情境的框架,才得以在不影響使用者操作體驗下,落實資安治理政策。
整體雲端應用安全的發展方向,資安設備廠商最初是由IaaS領域切入,在主流雲服務平台中的Hypervisor環境,提供虛擬主機版本的部署,只要在雲服務平台的商城中選購即可。「因此Palo Alto對於雲端應用服務的發展並不陌生,近年來雲端應用服務逐漸為企業所接受,Palo Alto策略也緊跟需求的轉變,透過收購方式持續擴展延伸資安平台,推出Aperture服務。」Palo Alto Networks台灣區技術顧問藍博彥說。

在Palo Alto既有的次世代防火牆系統中,本就已具備各式網路應用服務、使用者行為模式的可視性能力,以此為基礎,搭配雲服務來輔助執行內容分析與檢測更具綜效,因此Aperture服務在定位上,並非為獨立存在的解決方案,而是次世代防火牆的延伸,讓客戶經由訂閱啟用服務後,規畫整合於既有的控管政策。

CASB市場的定義,功能機制須包含可視性、合規性、檔案加密、威脅防禦等項目,確實可強化雲端應用服務所欠缺的安全性,但藍博彥觀察,現今企業環境絕大多數仍保有內部應用系統,基於次世代防火牆建立可視性,更能達到整合控管的目的,畢竟雲端應用服務主要的場景,仍舊以企業內部居多,因此在閘道端就必須定義合法、非法、未知的應用行為,進而對應到使用者行為,才得以依據企業制定的控管政策實施措施,不應該在更換到雲端環境後有所妥協。

單一政策控管 雲端應用服務

至於探討多年的影子IT問題,藍博彥認為,主因在於初期發展的雲端網路應用服務,關注的焦點是以創新為主軸,雲服務供應商傾全力設計研發符合人性的操作介面、豐富的統計報表,卻忽略了安全保護機制,因而造就出新興的CASB市場。

「其實CASB解決方案的核心意義,在於幫助企業把商業應用系統切換到雲服務,因此可發現CASB市場近兩年成長速度相當快,當時的新創公司幾乎全數被既有IT解決方案供應商收購,原因即在於企業內部應用系統轉變為雲端應用服務的過程中,需要有可整合安全性的技術。」


▲ Palo Alto基於次世代防火牆平台所制定的統一控管政策,搭配Aperture服務控管雲端應用環境,一旦行為違反政策原則,將觸發Aperture啟動隔離檔案,防止資料外洩事件。(資料來源:Palo Alto Networks)


他進一步指出另一項觀點,當IT廠商在收購CASB技術後,不外乎成為獨立產品線,或者是整合到現有資安平台,例如Palo Alto。之所以須要整合到資安平台,主要因素是CASB原本較擅長的可能是內容偵測、權限控管、存取邏輯等面向,還需要進一步搭配資安技術才得以完善。假設由非資安廠商所併購,則難以運用CASB擅長的技術為基礎,整合雲端應用服務所需強化的安全性,例如因應新型態攻擊手法最關鍵的威脅情資。

藍博彥強調,「管理機制結合威脅防禦,才足以有效保障雲端應用服務可正常運行,因此Palo Alto發展新世代安全平台策略思維是以次世代防火牆為平台,延伸提供Aperture服務,而非為了爭取CASB市場而併購CirroSecure。」

就實際運作架構來看,Aperture服務已整合介接WildFire沙箱分析平台,輔助雲端應用服務環境偵測惡意程式攻擊威脅。WildFire雲端服務可說是Palo Alto解決方案的核心要角,所有產品線皆可藉此平台執行未知檔案的模擬分析,並且回饋蒐集取得的最新情資。

「WildFire自動化建立防禦機制,可說是Palo Alto較獨特之處。」藍博彥強調。只要在勒索病毒爆發後取得樣本,五分鐘之內即可基於機器學習引擎產生特徵碼,並且自動部署到次世代防火牆、端點、虛擬主機、行動裝置執行防護,毋須人力介入。 尤惠生也指出,當雲端應用服務更廣泛地被採用的同時,Palo Alto憑藉著伴隨企業IT走向雲端所累積的知識,下一步將以更宏觀的視野,從資安治理的思維勾勒出整體框架,以降低企業在數位轉型過程中可能面臨的各種資安風險。

這篇文章讓你覺得滿意不滿意
送出
相關文章
多雲資安上路 影子IT有解
發揮領先規模優勢 企業級思維治理雲服務
DLP貫穿雲端與地端 一致化把關機敏資料
以機器學習為中心 即時保護雲端帳號機密
CASB消弭影子IT問題 助企業安心擴展雲應用
留言
顯示暱稱:
留言內容:
送出