台灣企業對於外部公有雲日趨接受度日趨提升,目前主流IT架構已逐漸演進到混合雲模式。長期專注於研發網頁應用程式防火牆(WAF)與資料庫安全的Imperva,早在2014年收購Incapsula,取得內容傳遞網路(CDN)與DDoS緩解服務,就已開始朝雲端發展,2018年更併購取得Prevoty特有的執行期間應用程式自我防護(RASP)技術,持續監控與偵測,阻斷惡意程式在執行期間發作執行攻擊活動,為雲端應用增添防禦。
因應自動化攻擊手法快速改變,Imperva再藉由收購Distil Networks納入進階式惡意機器人防護能力,以及收購CloudVector取得了備受市場肯定的API防護技術,使得Imperva提供的網頁應用程式與API防護(WAAP)更加完整,以協助雲端化應用場景增進抵禦新式威脅的防護力。
Imperva亞太暨日本區資深技術總監周達偉指出,Imperva技術發展是以客戶需求為核心,依據全球各地區的法規、文化等因素,研發設計可真正解決安全問題的應用模式。實際上雲端服務在全球發展速度確實飛快,亞太區包含台灣在內的採用率雖也逐年增長,相較歐美地區仍有差異。他觀察,亞太區的企業普遍傾向建構混合雲模式,例如Imperva在中國區的客戶主要導入部署地端解決方案,即便是東南亞地區國際化程度最高的新加坡,企業IT模式同樣以混合雲為主,因此Imperva必須同時發展雲端與地端方案,才得以滿足不同地區企業應用需求。
Imperva除了前述的WAAP雲端服務,近期最新發布以資料為中心的Data Security Fabric解決方案,台灣企業熟知的資料庫稽核與防護方案SecureSphere亦納入其中,以協助IT或資安維運團隊嚴加管控存放在地端、雲端、邊緣環境的數位資產。Data Security Fabric關鍵特性之一在於建立用戶行為模型(UEBA)辨識準則,能偵測異常的網路連接、存取機敏資料的行為,並且可搭配工具制定自動回應的劇本(Playbook),確保合規與防止資料外洩。
API安全防護為新科技應用首要關鍵
過去應用系統標準的三層式架構中,前端面對用戶的是呈現層、中間為應用邏輯層、後端是資料庫層,如今現代化系統的應用邏輯層變得相當多元,高度仰賴API介接交換資料,然而傳統部署的資安技術主要卻著重於南北向流量檢測,不具備判讀東西向流量的能力。
周達偉舉例,用戶手機或平板系統安裝的App屬於前端操作介面,點選單一功能時,應用程式會自動觸發API呼叫其他系統,取得用戶所需的資料。這類應用場景的API整合運行方式是當應用程式彼此溝通時,比對API金鑰符合即可信任。潛在風險卻是金鑰可能遺失或遭竊取,再加上新科技應用大量採用開放API,儘管持續不斷地改善與強化安全等級,仍有遭遇中間人攻擊的風險,勢必得有所防範。因此市場興起WAAP方案,具體涵蓋網頁應用防火牆(WAF)、防惡意機器人、DDoS緩解、API安全,藉此可掌握網路流量、解析內容,有助於實作保護措施。
「從企業實際運行的網路流量中可發現,多達86%的內容與API溝通相關,由此不難看出現代化應用高度仰賴API串接的趨勢。藉由API介接異質系統讓彼此可整合運行、交換資料,意味著東西向網路流量的溝通日漸增多,正是驅使WAF防護機制必須跟進,延伸控管API安全的重要因素。」周達偉說。Imperva WAAP方案獨特的執行期間應用程式自我防護(RASP)技術,可藉此掌握微服務架構中API之間的溝通行為,搭配既有WAF、資料庫安全等偵測與阻斷機制,避免攻擊者利用API夾帶攻擊程式。
為資料庫上雲建立風險控管
除了API安全需要被重視,雲端資料庫安全議題也將會逐漸浮上檯面。例如Amazon RDS(Relational Database Service)設計的目的是讓企業內部部署的SQL Server、Oracle、MySQL等資料庫系統可遷移上雲,相關的安全性措施將會成為評估的關鍵。
Imperva亞太暨日本區資深技術總監周達偉建議,企業可定期請專業資安顧問盤點與評估自家混合雲、雲端原生服務的風險,確保當前保護措施足以因應現代化攻擊,確保整合部署的營運環境合規且安全無虞。
前端應用系統遷移上雲已是產業轉型、市場經濟必然的趨勢,實務上卻可能涉及應用系統後端的資料庫,IT管理人員根本不敢擅自異動或變更,從金融業的核心銀行系統至今仍存在大型主機即可看出端倪,再加上部署到雲端環境,並非把地端的作業系統打包封裝、掛載到雲端平台即可順暢運行,環境參數得同步調整,必須評估風險並且逐一克服才可實現。周達偉認為,企業可拆分資料庫系統,讓營運核心的部分保留在地端資料中心,借助API介接讓分散部署的應用系統可整合運行。
初期雲端化的方式大多運用伺服器虛擬化技術,映像檔掛載到VMware、KVM等虛擬環境,或是採用前文提到的Amazon RDS服務來實作遷移。IT管理者欲掌握雲端資料庫的存取活動,則可藉由Imperva Data Security Fabric整合公有雲服務供應商提供的監控服務如Amazon CloudWatch,蒐集日誌等資料建立正常用戶行為模型,進而分析高風險的活動,運用自動回應劇本避免資料外洩,更重要的是保障合規性要求。
3秒SLA緩解DDoS攻擊
若想確保營運業務服務的可用性與可靠度,DDoS攻擊堪稱是絕對須優先擬定緩解措施的外部攻擊威脅。Imperva在全球包含台灣已部署超過48個網際網路接入點(PoP),不僅可提供內容傳遞網路(CDN)服務,更重要的是扮演流量清洗中心,整合全球PoP資源擁有6Tbps的清洗能力,每秒可處理650億個攻擊封包,足以緩解Layer 3/4、Layer 7各種手法發動的惡意活動。Imperva可為客戶提供3秒的服務品質保證(SLA),抵禦任何規模等級、持續性DDoS攻擊威脅。
周達偉建議,企業須定時請專業資安顧問對自家混合雲、雲端原生服務的數位資產及服務進行盤點與風險評估,確保現行的保護方案與措施足以因應現代化攻擊,抑或是依據最新法規條文加以改變或精進,確保整合部署的營運環境既合規又安全無虞。
現階段Imperva正在積極研發方向之一為雲端與地端的整合控管,讓過往為解決特定問題所研發的操作介面,得以隨著異質技術的融合,讓不論雲端與地端環境的部署配置、維運皆可基於單一平台執行操作,進而整合企業既有的事件管理系統(SIEM),讓資安資安維運團隊全面洞察高風險警訊,及早回應避免爆發事故。