什麼是雲端資安防護?

雲端運算是透過網際網路提供託管服務,包括軟硬體和儲存裝置。快速部署、彈性、低前期成本和可擴展性等優點,使雲端運算幾乎成為各種規模組織的普遍選擇,通常成為混合/多雲端基礎架構的一部分。

雲端資安指的是保護雲端資料、應用程式及基礎架構免受威脅的技術、原則、控制措施與服務。

Secure your cloud 雲端資安報告

什麼是雲端資安防護?

雲端資安是大家共同的責任

雲端資安是雲端供應商與客戶共同承擔的責任。在共同責任模式中,基本上有三類責任: 始終 供應商的責任 始終 客戶的責任 依服務模式而異基礎架構式服務 (IaaS)、平台即服務 (PaaS) 或軟體即服務 (SaaS),例如 雲端電子郵件

安全責任是 始終 供應商的責任與基礎架構本身的安全防護,以及實體主機和實體網路的存取、修補和組態有關,而運算執行個體在實體主機和實體網路上執行,儲存和其他資源則在實體網路上存放。

安全責任是 始終 客戶包括管理使用者及其存取權限 (身分與存取管理)、保護雲端帳戶免遭未經授權的存取、加密和保護雲端資料資產,以及管理其安全狀態 (合規)。

七大先進雲端資安挑戰

由於公用雲端沒有明確的周界,因此會呈現完全不同的安全現實。當採用現代的雲端方法,例如自動化的持續整合與持續部署 (CI/CD) 方法時,這將變得更具挑戰性 無伺服器 架構,以及像功能即服務(Functions as a Service)這類短暫資產 容器

一些先進的 雲端原生資安防護 現今以雲端為導向的組織所面臨的挑戰與多層風險包括:

  1. 增加攻擊面

    公共雲端環境已成為一個龐大且極具吸引力的攻擊面,駭客利用安全性較差的雲端入口連接埠來存取和破壞雲端中的工作負載和資料。惡意軟體、零時差、帳戶接管及許多其他惡意威脅已成為日常現象。

  2. 缺乏可見性和追蹤

    在基礎架構式服務模式中,雲端供應商能完全控制基礎架構層,而不會向客戶揭露。在 PaaS 和軟體即服務雲端模式下,缺乏可見性和控制力的問題進一步加劇。雲端客戶通常無法有效識別和量化其雲端資產,或視覺化其雲端環境。

  3. 不斷變化的工作負載

    雲端資產是以動態的規模與速度進行配置與停用。傳統的安全工具根本無法在如此靈活多變的環境中執行保護原則,因為工作負載變幻多端且轉瞬即逝。

  4. 開發運營 DevSecOps 和自動化

    已採用高度自動化開發運營 CI/CD 文化的組織,必須確保在開發週期的早期,就已識別適當的安全控制,並將其嵌入程式碼和範本中。已執行的安全相關變更 之後 在生產環境中部署工作負載可能會削弱組織的資安態勢,並延長上市時間。

  5. 精細的權限與金鑰管理

    雲端使用者角色的設定通常非常鬆散,賦予的權限超出預期或所需的範圍。一個常見的例子是為未經訓練的使用者或沒有業務需要刪除或新增資料庫資產的使用者,授予資料庫刪除或寫入權限。在應用程式等級,配置不當的金鑰和權限會使工作階段面臨安全風險。

  6. 複雜環境

    以一致的方式管理安全性,在混合型和 multicloud 如今企業青睞的環境需要能夠跨公用雲端供應商無縫運作的方法和工具、 私人雲端 供應商以及本地部署—包括 分公司邊緣保護 適用於地理分布廣泛的組織。

  7. 雲端的合規性與管理

    所有領先的雲端供應商都已與大多數知名認證計畫結盟,如 PCI 3.2、NIST 800-53、HIPAA 及 GDPR。但是,客戶有責任確保其工作負載和資料流程符合規定。由於雲端環境的能見度低且動態多變,除非使用工具來進行持續的合規性檢查,並發出錯誤配置的即時警示,否則合規性稽核程序幾乎是不可能完成的任務。

零信任以及您該採用它的理由

條款 Zero Trust 最初由 John Kindervag 於 2010 年提出,當時他在 Forrester Research 任職資深分析師。雲端資安中零信任的基本原則是不要自動信任網路內部或外部的任何人或任何事物—並且要驗證 (即授權、檢查和保護) 一切。

舉例來說,零信任提倡最低權限治理策略,使用者只能存取執行職務所需的資源。同樣地,它呼籲開發人員確定面向網路的應用程式受到妥善保護。舉例來說,如果開發人員沒有持續封鎖連接埠,或沒有依據「需要」執行權限,那麼接管應用程式的駭客就會擁有從資料庫擷取及修改資料的權限。

此外,零信任網路利用微分段,使雲端網路安全性更加精密。微分段在數據中心和雲端部署中建立安全區域,進而彼此分段工作負載,保護區域內的一切,並套用原則來保護區域之間的流量。

穩健雲端資安的六大支柱

而雲端服務供應商如 Amazon Web Services (AWS) 微軟 Azure (Azure) 以及 Google Cloud Platform (GCP) 提供許多雲端本機安全功能和服務,但要達到企業級的安全性,輔助的第三方解決方案不可或缺 雲端工作負載防護雲端環境中的資料外洩、資料洩漏和目標攻擊。只有整合的雲端原生/第三方安全堆疊才能提供集中式可見性和原則型的精細控制,進而實現以下產業最佳做法:

  1. 跨複雜基礎架構的精細、原則型 IAM 和驗證控制

    與群組和角色合作,而非在個別 IAM 等級合作,以便在業務需求改變時更容易更新 IAM 定義。僅授予群組或角色執行其任務所需的資產和應用程式開發介面的最低存取權限。權限越廣泛,驗證等級越高。而且不要忽視良好的 IAM 衛生習慣,強制執行強力密碼原則、權限逾時等等。

  2. 零信任 雲端網路安全防護 跨邏輯隔離網路和微區段的控制

    在供應商雲端網路的邏輯隔離區段中部署關鍵業務資源和應用程式,例如虛擬私人雲端 (AWS 和 Google) 或 VNet (Azure)。使用子網路對工作負載進行微分段,在子網路閘道器實施精細的安全原則。在混合架構中使用專用的 WAN 連線,並使用使用者定義的靜態路由設定,自訂如何存取虛擬裝置、虛擬網路及其閘道器,以及公用 IP 位址。

  3. 執行虛擬伺服器保護政策和流程,例如變更管理和軟體更新:

    雲端資安廠商提供強大的 雲端資安態勢管理,在配置虛擬伺服器時,持續套用治理與合規規則和範本,稽核配置偏差,並在可能的情況下自動修正。

  4. 使用新一代網路應用程式防火牆保護所有應用程式 (尤其是雲端原生分散式應用程式)

    這會仔細檢查和控制來自網路應用程式伺服器的流量,自動更新 WAF 規則以因應流量行為的變化,而且部署的位置更靠近執行工作負載的微服務。

  5. 強化資料防護

    透過所有傳輸層的加密、安全的檔案共用和通訊、持續的合規風險管理,以及維持良好的資料儲存資源衛生 (例如偵測配置錯誤的儲存桶和終止孤立資源),強化資料保護。

  6. 威脅情資 即時偵測並修復已知與未知的威脅

    第三方廠商雲端資安廠商可將彙總的記錄資料與內部資料 (例如資產與組態管理系統、脆弱性掃描器等) 以及外部資料 (例如公共威脅情資饋送、地理位置資料庫等) 進行智慧型交叉比對,進而為龐大且多樣化的雲端原生記錄串流增添脈胳。它們也提供有助於視覺化和查詢威脅狀況的工具,並促進更快的事件回應時間。人工智慧架構的異常偵測演算法應用於捕捉未知威脅,這些威脅隨後會經過鑑識分析以判斷其風險概況。入侵和違反原則的即時警示可縮短修復時間,有時甚至可觸發自動修復工作流程。

Learn More About Check Point Solutions

Check Point’s unified Check Point cloud security platform integrates seamlessly with the providers’ cloud-native security services to ensure that cloud users uphold their part of the Shared Responsibility Model and maintain Zero Trust policies across all the pillars of cloud security: access control, 網路安全防護、虛擬伺服器合規、工作負載與資料保護,以及威脅情資

雲端資安支柱圖