進入雲端時代後,前線業務單位(LOB)為了因應市場急速變化,往往自行採購新興的雲端應用服務(SaaS)輔助,例如常見的Salesforce,甚至是消費端的Dropbox、Google雲端硬碟等,藉以快速地提升生產力,省去以往須提出需求申請,經IT部門評估後建置的冗長程序。
自2012年起,全球對於這類「影子IT(Shadow IT)」的現象有諸多討論,對終端用戶而言,影子IT意味著民主化,可自行選用適合的創新應用服務,更有利於工作的執行;但對IT管理者而言,這些未經批准的雲端應用服務,不易透過既有的次世代防火牆、網頁閘道器等資安設備監看,在無法辨識的情況下,往往難以有效偵測資料外洩或攻擊威脅風險。
隨著雲端應用服務蓬勃發展,終端用戶採用的數量激增,影子IT的潛在風險勢必得有所管控,以免釀成資安事件。國際研究暨顧問機構Gartner於2016年針對可協助企業控制雲端應用服務漏洞的雲端存取安全代理(Cloud Access Security Broker,CASB)市場進行調查,儘管統計結果僅有不到5%採用,但Gartner預期到2020年,將有85%的大型企業將藉此確保雲端應用服務的安全。
雲端應用服務市場蓬勃發展,對企業營運效率的重要性勢必與日俱增,但在此同時,企業也擔心可能帶來資安、隱私、法規遵循等問題,畢竟雲端應用服務供應商眾多,產品研發設計邏輯及安全嚴謹程度皆不同,需要有整合管理的系統輔助,才能達到有效率地控管。CASB正是為此需求所設計的解決方案,可用於輔助企業文件同步和共享、客戶關係管理、人力資源、ERP等應用服務,建立可視性、合規性、檔案加密與存取控制、威脅防禦、整合性,以降低資料外洩風險。
早期研發此類解決方案的新創公司,近兩年幾乎已陸續被國際IT大廠所收購,例如Palo Alto Networks收購CirroSecure、微軟收購Adallom、思科收購CloudLock以及Forcepoint收購Skyfence等,各自整合擅長的技術領域,提供企業統一控管方式以確保雲端安全。
CASB運用DLP引擎保護機敏資料
Forcepoint北亞區技術總監莊添發觀察,自從雲端應用服務興起後,終端用戶連線存取行為變得分散,既有配置於企業IT邊界的資安控管措施已無法因應,任何的網路存取行為皆可能存有安全疑慮。然而,不同雲端應用廠商所推出的服務,即使內建了安全機制也往往不盡相同,難以建立統一控管標準,使用者常可能因為被滲透入侵不自知、操作錯誤甚至主動惡意等因素,造成機敏資料外流。
近期全球四大會計師事務所之一的Deloitte(德勤)發生資料外洩事件,正是典型由雲端應用服務導致的資安案例。其實在此事件之前,就已陸續傳出有國際級大型企業採用Amazon S3雲端儲存,因為組態設定不當、欠缺嚴謹安全控管措施,導致大量資料外洩事件,使得雲端服務安全性問題開始浮上檯面。
 |
| ▲ CASB的運行示意圖,部署模式可採用正向代理、反向代理、API模式建構,為雲端服務建立可視性、合規性、資料保護、威脅防護機制。(資料來源:www.gartner.com/doc/3488119/market-guide-cloud-access-security) |
各家IT大廠之所以紛紛透過併購取得雲端存取安全代理技術,主要著眼點即在於企業內部重要檔案已有愈來愈多遷移到公有雲服務的儲存環境,因此勢必需要有新的方法來滿足安全性、合規性、資訊治理方面的要求,才不至於發生失控的狀況。
根據Gartner定義,CASB框架主要元素包含:可視性、合規性、資料保護機制、威脅防護。莊添發指出,其中合規性要求是透過DLP機制偵測雲平台中存放的檔案,若發現內文中有敏感性資料,須符合法規要求建立保護措施。當然,存放在雲平台的檔案應強制執行加密、權限控管等措施,同時也必須具備偵測外部攻擊、特權帳號被盜取的防範機制。
至於威脅防禦方面,以美國Deloitte資料外洩事件為例,可能是管理者權限的帳密遭竊取,駭客透過中繼站連線登入到雲端郵件平台執行盜取。對此惡意行徑,CASB有幾種方式偵測,莊添發說明,首先是藉由已知威脅資料庫比對發現後,觸發告警、阻斷,抑或是啟用多因素認證,自動發送簡訊給終端用戶,要求用戶須輸入簡訊中提供的數字,才得以順利存取,如此一來,即可阻絕非法登入的問題;萬一在尚未取得權限之前,執行嘗試登入、暴力破解的動作,連續觸發登入失敗超過三次,就隨即禁止登入。
此外,多數CASB提供地理幾何資訊整合,亦有助於偵測。一旦出現短時間內分別從全球不同區域連線登入,立即判定為異常存取行為,觸發執行阻斷、多因素認證等機制。
商業版雲應用與新政策 為轉型奠定基礎
以台灣企業的雲端應用服務現況來看,微軟資深企業應用業務經理簡志偉觀察,關注安全性的客戶,主要偏重在高科技製造業,擔心研發人員把設計圖等機密檔案存放在外部雲端儲存空間。Palo Alto Networks台灣區技術顧問藍博彥則指出,也有部分企業開始採用商業版雲端應用服務之後,才發現會遭遇到法規遵循問題,畢竟資料上傳到雲端儲存空間,無法用既有稽核工具控管,也就難以證明檔案實際存放的位置、授權存取的帳戶、允許分享存取的對象,甚至協同作業權限的配置模式。
「運用雲端應用服務與第三方合作夥伴、下游廠商之間的協同作業,更需要透過工具確保檔案不至於分享給錯誤的對象,或是內容不應包含機密,以免成為資料外洩的漏洞。」藍博彥說。
思科大中華區資訊安全資深技術顧問林傳凱從實際拜訪本土企業IT部門的經驗中發現,大多企業僅批准開放特定雲端應用服務,例如常見的Salesforce或Dropbox。至於員工是否有私自採用未批准的雲端應用服務,IT管理者也無法掌握。「台灣目前的困境是,老闆多半不想花錢;即便有預算,也不知道如何建構雲端安全。因此常見的做法是藉由已建置的次世代防火牆功能,解析網路封包來記錄行為資訊,萬一發生資料外洩事件時才可藉此查證。」
其實,市場上雲端安全問題所需搭配的解決方案已完成整合,一旦台灣企業在數位轉型浪潮下開始擁抱雲服務,提供員工商業版應用,自然會依據新應用模式的管理辦法,教育訓練內部員工以培養資安警覺心與良好操作習慣,最後搭配解決方案輔助控管,消弭影子IT等問題,回歸到資安風險控管的正道。