現在我們每個人早上第一件事情應該不僅是看報紙,更多是從電腦或手機上觀看是否有新的訊息或新聞傳入!這些不限時間、不限地點也不限裝置的服務,就是雲端服務早已進入且落實在每個人生活中的證明。相對於傳統服務的嚴謹架構與路徑,使用簡單又擁有多重管道的雲端服務該怎樣確保安全呢?單只有防火牆肯定是不夠的,必須要擁有從第二層到第七層的縱深防禦才能夠達到最佳的安全防護。
許多企業都知道為了提供令人放心且穩定的服務,資訊安全是不可少的一環,但隨著基礎架構與應用服務的改變,卻有許多企業並未跟著改變,反而一直保有「已經有防火牆所以就很安全」的迷思,反而讓資訊安全顯露重大危機。
過去由於重要的應用服務最少都會要求使用者透過特定方式(如VPN、身分認證或特定IP位址)連線才可使用,因此在重重限制之下,單純的防火牆即可發揮作用。但是在雲端服務的環境中,最主要的訴求是讓使用者可以快速、便利且多元化使用,過多的限制會讓使用者反感而減少使用率,但也因為如此就讓應用服務伺服器逐漸暴露在風險之中。究竟該如何確保雲端安全性?我們應該要從關鍵核心,也就是應用服務本身著手。
由於雲端服務的特性,現在許多攻擊模式早已經從攻擊伺服器或網路路徑,轉移目標至應用服務流程上,其中攻擊的對象包含使用者、應用服務、內容及資料庫等,而這些環節都非一般防火牆均能防禦。事實上,所有資安專家都一致認為,防火牆當然是現今安全防護中不可免的一環,但仍需網路應用程式防火牆(WAF)、內容過濾與身分認證等機制共同補足,才能真正保障雲端服務的安全性。
現在許多攻擊都是利用合法途徑偽裝成正常使用者,但是實際上卻是偷偷塞入非法內容或封包,進而破壞應用服務或是竊取資料,這些攻擊或手法都不是一般防火牆所能夠抵禦的,必須要透過內容過濾機制,將惡意內容屏除在外,以免後端應用伺服器遭受攻擊。
另外,我們也可以藉由內容過濾的方式,檢查由應用伺服器送出的資料是否違反企業的安全規範,避免在無意間造成機密資料外洩,造成嚴重的資安危機。特別是使用者對於個資法的重視程度日漸升高,利用雙向的內容過濾更能夠強化使用者對應用服務的信心。
除了網路防禦必備的防火牆與內容過濾機制之外,面對新一代多變化的攻擊就得仰賴WAF提供更進一步的防禦能力。若說防火牆是抵禦已知的攻擊模式,內容過濾就是根據特定徵兆防止攻擊入侵,WAF則是依據過去經驗與模式防範各種潛在且未知的攻擊。
以F5的iRule功能為例,可以設定出多種基本規則與門檻,當應用程式出現未知的連線模式或超過所設定之門檻值時,iRule就會自動依據所設定的原則做出適切的反應,不但可以確保應用程式與服務的安全性,同時也能降低管理人員的負擔,讓反應更即時。
其實雲端安全是需要建構多重面向的防禦體系,不能單靠一台防火牆或入侵防禦系統就能建構出完備的堡壘。如果建構一套良好的雲端服務架構,卻忽略了安全防護措施,讓使用者不敢放心使用,如此豈不令人扼腕?
(本文作者現任F5 Networks台灣暨香港區董事總經理)