上一期我們說明了在雲端控制矩陣之中,有關發行安全管理和災難回復能力之要求,本期將說明有關雲端安全控制要求的最後一項——安全架構之內容。
SA-07 遠端使用者之多因素認證
在雲端服務之中,使用者的身分可決定其使用的服務內容,因此在身分驗證方面,這項控制要求所有遠端存取的使用者,都必須使用多因素認證,包括像是登入管理介面、創建金鑰、存取多個使用者帳號、防火牆設置及遠端存取等。
在實施方面,可參照ISO 27001附錄「A.11.4.2 外部連線的使用者鑑別」,要求當使用者從外部網路連回使用相關服務時,需要採用適當的鑑別方法,確認使用者的身分以便進行存取控管。目前最常見的作法是採用VPN方式,以使用者帳號、密碼和Token進行身分驗證,在建立安全加密的通道之後,才允許其使用網路服務。
SA-08 網路安全
這個控制措施是要求針對信任與非信任區域的網路,應該被設計為可限制彼此的連結,並以文件化方式記錄所有服務的用途和被允許使用的網路協定與連接埠,也包括了針對不足之處所實施的補償性措施。另外,在網路架構圖上面,應清楚定義高風險的環境和資料流經之處,以降低可能違反法規之衝擊。
對此,可參考ISO 27001附錄「A.11.4.1 網路服務的使用政策」之內容,要求組織制訂有關網路服務和使用的安全政策,規範使用者只能存取已獲得授權的服務,並且在政策中說明像是有哪些網路服務是允許使用者來存取的、申請使用和授權的程序、可允許存取的方式,以及所採取保護網路連線和服務的安全管理機制等。
SA-09 環境區隔
這個控制措施要求系統和網路環境必須使用防火牆進行區隔,以確保能夠遵守以下的要求。
1. 業務與客戶之要求
2. 安全要求
3. 法律、法規與合約之要求
4. 生產與非生產環境區隔之要求
5. 敏感資料之保護與隔離要求
針對網路的安全管理,可參考ISO 27001附錄「A.10.6.1 網路控制措施」的內容,利用資安設備像是防火牆、入侵偵測系統、VPN等,以保護網路連線服務不會受到惡意的入侵和存取。對於敏感性資料,則可以依據「A.11.6.2 敏感性系統隔離」來要求敏感性系統需要有專屬的作業環境,以避免其他未經授權的人員可以操作使用。
SA-10 無線安全
這個控制措施要求對於無線網路的安全,應建立相關的政策與程序,並實施以下的安全防護作法:
1. 部署邊界防火牆來限制未經授權的網路流量。
2. 啟用安全的組態配置如加密與身分驗證措施,修改廠商預設的加密密碼和SNMP等設定。
3. 只限經過授權的人才可使用無線網路。
4. 有能力偵測偽冒的無線基地台,並且能夠及時地阻斷連線。
對於網路服務的安全,可依照「A.10.6.2 網路服務的安全」之要求,識別無線服務所屬的安全等級,以便採取對應的控管方法,包括制定申請使用程序、可連線的方式、身分識別方法及所採取的加密措施等。
SA-11 分享的網路
在組織之中,隨著規模的擴大以及資訊服務的增加,網路環境也顯得愈來愈複雜,若沒有實施良好的管理,資訊的傳遞、儲存、使用可能會危及本身的機密性、完整性和可用性。
因此,這個控制措施要求使用分享的網路基礎設施時,應依據安全政策、程序和標準的要求,只限於已取得授權的人員。對於和外部單位分享的網路,應以文件化方式規劃所需的補償性控制措施,使其和組織本身的網路能有所區隔。
至於文件化的政策方面,可參考ISO 27001附錄「A.11.1.1 存取控制政策」,依照營運相關的存取安全要求來建立文件化的存取控制政策,藉此明確地說明每位使用者和使用群組如何配置所需擁有的存取權限。
另外,針對網路的隔離,「A.11.4.5 網路區隔」提到的作法是可採取虛擬網段(VLAN)的方式,透過網路交換器、路由器、防火牆等設備,依照不同網域的安全要求來加以分割,以確保網路流量的區隔和安全邊界的劃分。
SA-12 時間同步
為了確保日誌記錄的有效性,正確的時間設定是非常重要的一環,唯有各項系統的時間維持一致,才能去作分析與追蹤。這個控制措施是要求組織中所有與雲端服務有關的系統,必須使用來自可信賴的資源,並且定義所在的安全區域,以便同步整合所有系統的時間。
對此,可參考ISO 27001附錄「A.10.10.6 鐘訊同步」,採行實務上最簡單的方法,也就是使用NTP的通訊協定與國際標準時間或當地標準時間伺服器來進行同步對時,確保使用了共同的時間來源。
SA-13 設備識別
這個控制措施要求對於提供雲端服務的各項設備,必須要有能力可以彼此自動地識別與連結,對於已知所在地點的設備,可透過地理位置感知技術,以強化連結時的安全驗證。
在ISO 27001附錄「A.11.4.3 網路設備鑑別」中提到,組織若想限制來自特定地點或設備的網路連線,最好是採取自動設備的識別方法,以鑑別連線的設備是合法且經過授權的裝置。實務上最容易採取的方式,是識別網路設備的MAC Address和網路IP,尤其是目前普遍使用的無線網路,相關行動設備皆建議採取此種方式來進行識別,若再配合使用者的身分鑑別,則可以大幅提高其安全性,避免受到惡意人士採用偽冒身分的攻擊。
SA-14 稽核記錄與入侵偵測
這個控制措施是要求包括特權使用者的存取行為、已授權與未授權的存取要求、系統例外和資安事件等,應依據所制定的政策要求來加以記錄。稽核記錄應當每日進行檢視,並且部署檔案完整性檢測和入侵偵測系統,以確保能夠即時地監控並分析事故發生的原因。有關稽核記錄的實體與邏輯存取,也只限於經過授權的人員才可進行。
在ISO 27001附錄「A.10.10.1 稽核存錄」中提到,無論是資訊系統、資安設備、資料庫或應用程式等,每天都可能會產生大量的系統日誌(log),這項控制措施的目的,就是要保留使用者的活動記錄、異常事件的告警等,以便可以用來找出事件可能的發生原因,甚至還原事件發生的過程。所以在實務方面,建議日誌記錄必須要保存適當的一段時間,至於應該保留的事項包括:
1. 事件發生的日期、時間
2. 所使用的帳號和使用行為如登入和登出等
3. 系統存取成功或失敗的記錄
4. 系統組態的變更項目和範圍
5. 系統工具程式的使用情況
6. 所存取的檔案類型和方式
7. 網路IP和使用的通訊協定
8. 系統異常事件的告警等
SA-15 行動碼
行動碼是指可以跨越不同平台設備使用的程式,像是ActiveX、Java、Flash等,這個控制措施是要求行動碼在安裝、使用和配置之前,應先取得管理者的授權,並且確保將根據既定的安全政策來執行,也就是必須能夠防止未經授權之行動碼的使用。
對此,可參考ISO 27001附錄「A.10.4.2 對抗行動碼的控制措施」之要求,實務上最常使用的管制方式是提高瀏覽器的安全等級,以避免使用者有能力直接執行有害的惡意程式。
<本文作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>