全球興起的雲端服務應用模式浪潮,正在台灣本土企業與組織IT環境逐步發酵,即便是以往礙於隱私安全、整合性、控制權等因素,遲遲不願意遷移到外部雲端平台的郵件系統,近年來由政府領頭,開始在電子採購網共同供應契約中,納入雲端電子郵件(Email as a Service,EaaS)項目;再加上國際知名雲端方案供應商偕同合作夥伴,共同推動企業內部郵件系統雲端化,如今的郵件雲服務,幾乎已成為企業與組織系統汰舊換新時不可或缺的選項。
以自主研發MailCloud加入雲端郵件服務標案市場的網擎資訊(Openfind)行銷處協理林家正不諱言,2015年首度成為服務供應商至今,其實政府單位的採用數量並不如預期,探究其原因,多數的障礙在於支出將因此增加,除非不具備郵件系統包袱的新單位,抑或是改由較大的部會導入建置雲端郵件平台,再提供讓轄下單位共同使用,或許可提升採用的意願。
儘管雲端郵件服務在政府組織單位發酵程度較為緩慢,但林家正指出,就2016年MailCloud服務總體營運來看,仍舊成長20%以上,現階段主要客群大多為中小企業,但也開始有中大型企業正在進行測試評估,由此看來,不只是政府單位,台灣企業對於雲端服務的保守心態正在逐漸轉變。
方便性需求推動雲端郵件服務在台萌芽
過去企業總是擔心郵件系統遷移到外部雲端環境後,控制權交給服務供應商會有安全疑慮的觀念,中華數位產品策略處產品經理高銘鐘觀察,如今客戶的思維確實較以往不同,但並非是安全疑慮被消滅,而是對於實用性的需求更高過於安全性。畢竟現在台灣企業為了推動業務成長,產品或服務的提供範圍往往跨越不同國家,若不同區域欲架設郵件伺服器,彼此之間再設定同步機制,其實建置與日後維護皆相當麻煩,直接採用公有雲服務即可大幅簡化複雜度。至於系統被入侵、資料外洩等問題,企業端則認為,可藉此將防禦成本及風險轉嫁給雲端解決方案供應商(CSP)。
高銘鐘進一步提到,驅動保守觀念改變的關鍵,主要是雲端運算商業模式發展以來,鮮少傳出服務供應商管理疏失、資安漏洞等重大事故,因此企業開始產生信任感,願意嘗試將內部IT系統階段性地委外,雙方透過服務等級協議(SLA)擬定彼此的權利與義務,若違反亦有相關罰則,可靠度與可用性皆得到保障。
他舉例,以往通常只要終端用戶執行傳送與接收郵件時反應速度過慢,就會被同仁們質疑系統的穩定性,但若是轉嫁到專業的雲端解決方案供應商,即使發生事故,也不全然是MIS責任。在缺點不明顯、而優點慢慢展現的醞釀之下,於是企業主、IT人員的思維才開始轉變,接受原本內部系統遷移到公有雲的應用模式。
 |
| ▲Openfind Mail2000新增附檔守門員機制,在郵件附加檔案進入系統時先執行第一層過濾,下載的當下再執行第二層掃描,以避免最新變種病毒在防毒軟體尚未更新之前早已進入用戶郵箱,藉由二層式偵測降低感染機率。 |
畢竟雲端郵件服務在台灣仍處於萌芽階段,眾至資訊產品經理王建忠即觀察到,仍有為數不少的中小企業用戶較偏好自建方案。雖然市場上宣稱雲端服務適用於中小企業,但實際上,收費方式卻未必較自建來得便宜。王建忠舉例,若以每人每月200元的訂閱費用來估算,對於30人公司而言,每月須支付6,000元,整年的費用為72,000元;以眾至自主研發設計的郵件伺服器設備為例,最低階的機種,包含防垃圾郵件/?防毒、記錄備份等基本防護機制,則僅需60,000元,反而更吸引中小企業青睞。
滲透手法多樣化 資安專家才能有效因應
但不論郵件系統是架構在內網或採用外部雲端服務,防護過濾、稽核、歸檔的需求都是同等重要。林家正說明,實際應用架構可區分為兩種,一種是先讓核心的郵件系統遷移上雲端,之後再評估前後稽核、備份等管理機制的作法;另一種是郵件系統仍舊建置在內網,前後稽核、備份等方案改採用雲端服務提供,也就是透過MX Record設定指向雲端服務,讓郵件的外發與收取,皆經過雲端服務安全機制執行檢查過濾,同時亦可藉此建立備份歸檔措施。
隨著外部資安威脅現況較以往更顯嚴峻,尤其是在2016年肆虐全台中小企業的勒索軟體病毒,主要透過郵件附加檔案發送,其實為資安業者帶來不小的壓力,必須較以往更快速地提出因應措施。高銘鐘即指出,勒索軟體出現後,對郵件安全解決方案供應商而言,最大的挑戰在於防禦措施始終趕不上病毒變種速度。而遭受感染的客戶勢必會有所抱怨,認為資安廠商無法發揮保護效果。
事實上,勒索軟體不僅變種速度快,感染手段也仍持續變化中,例如延遲發作的設計,即便MIS事後追蹤,也無法從記錄中確切地得知最初被感染的途徑,如此一來,將更難以建立防堵措施從中攔截。畢竟對勒索軟體發動者而言,唯有受害者數量變多,才有機會增加收益,因此勢必會盡量低調隱匿,避免被資安防禦專家掌握完整的感染行為模式。
「已發展多年的公有雲平台,成熟度確實足以提供穩定的應用系統運行環境,但多樣化的外部威脅防禦,則並非雲端服務供應商的專業,要跨足資安領域並非不可能,而是需要建立專屬團隊,以及時間累積經驗,才得以有所作為。」高銘鐘強調。當大家都著眼於雲端服務可帶來的好處時,資安問題仍舊存在,並未被消弭,即便現階段尚未發生重大資安事故,不代表安全無虞,應有的防禦措施仍不可忽視。
郵件附檔轉為圖 杜絕惡意滲透威脅
為了因應現代攻擊手法大多透過郵件發送問題,在日本市場深耕已久的網擎資訊,日前協助日本政府研發設計出郵件無害化方案,在郵件伺服器收取後先傳遞到無害化系統,執行過濾清除內文中的HTML、JavaScript、連結網址、附加檔案,處理過後的純文字郵件才會遞送到收件者,可說是犧牲便利性以獲取最高安全等級。
反觀台灣,林家正認為,恐無法接受如此繁瑣的郵件收取方式,勢必需要在安全性與便利性之間取得平衡,因此網擎資訊在本地端推展的郵件無害化版本,除了調整增添點選載回原始郵件機制,近期更進一步發展,附加檔案先行轉換為圖片格式,再以PDF檔案發送,讓使用者既得以完整閱讀附加檔案,又可確保安全性。