全面資安防護思維　建構穩固混合雲

Palo Alto技術經理 藍博彥

回顧以往，企業只要將基礎架構、應用環境建設妥當，再搭配適當的管控作為，即不難維持各項服務的暢行無阻；但這個沿襲已久的運作模式，如今進入雲端世代，是否持續適用？

Palo Alto技術經理藍博彥指出，以往企業針對不同目的部署之資安產品或行為管控設備，確實較易收到效果，但如今隨著雲端應用到位，整個局勢已經大變。因為員工可以更自由開心地使用大量服務，對於提升生產力固然有益，但也意外開啟新型態攻擊或惡意程式的傳遞管道，且現今駭客不執著求名而求利，目的就是要偷取資料，也愈來愈懂得規避企業現有管理機制與防護措施；如果企業未能洞察形勢轉變，依舊迷信傳統如Port-based等控管模式，恐無法善盡機敏資料保護之責。

唯今之計，企業意欲明哲保身，必須先建立有效的分析與識別機制，深切了解網路內何人在做何事、做的事情有無危害，掌握這些行為動向，才能有效判斷其風險，再以相對應機制進行有效管控。

藍博彥表示，論及雲端安全，有三個檢視重點，分別是流量內夾雜了什麼東西？誰在使用？傳輸的資料有無威脅？只因現今雲端崛起，已完全打破網路界線，尤其隨著IPv6的導入，管理者已無法單純倚靠IP辨認使用者身分，更難以判斷此IP是否值得信任，從而更加凸顯使用者識別之重要性。

因此在資安事件管理分析上，企業必須有能力追查稽核網路上究竟跑些什麼東西，然後從行為角度研判，哪些人或哪些部門可用什麼、不可用什麼，再進一步深究連線通道帶來的資訊或檔案內容，以判斷哪些流量必須予以攔阻，先行接受更深層的資安檢測。

尤其以私有雲環境而論，大家都可能使用相同的雲端服務或主機，上面跑的VM Instance，存取管道或目的地也如出一轍，但即使如此，仍需對背後使用者的身分、權限、資料傳輸內容詳加查核與控管。

回過頭來看，企業可能早在導入雲端前，就已部署多項資安或管控產品，不論是獨立防護系統或整合式的UTM，如今是否符合需求？恐怕都有盲點存在。例如單一產品，若非費心倚賴SIEM或人工查核，否則彼此事件記錄難以進行關聯，至於UTM，其實骨子裡也是多套系統的堆疊，情況未必好到哪裡去，且一旦功能全開，防護性能便瞬間滑落。

而在公有雲方面，企業承租IDC空間，原本只想到在前端設下保護機制，現已警覺到需於虛擬機器內直接進行人員、服務、病毒等第7層檢查。但其實光做到這裡，顯然還是不足的，因為虛擬機器有任何新增、異動或刪除，目前大致能與交換器或路由器等網路設備連動，但資安系統卻往往是狀況外，不會立即知曉這些變化，除非用戶僱用專門人力24小時緊盯變動、隨即做出調整，但可行性甚低；因此如何藉由自動化機制，補齊虛擬環境、網路、安全之間的訊息落差，立即調整政策，實為重大課題。

企業將服務放入雲端，到底安不安全？藍博彥認為，與其人云亦云，不如相信自己，平心看待新型攻擊模式的變化，理應不難發覺到，現今散播惡意程式的主要管道，已成為Client端應用程式，因為駭客通常會在Client連結到網際網路的過程中，尋求突破點，甚至根據特定對象量身訂製攻擊程式；如果以過去用以保護伺服器的IPS為例，搭配靜態特徵碼分析技術，面對這般頑強的攻擊手法(例如APT)，可說無計可施。

面對客製化成分愈來愈高的惡意攻擊，企業如何是好？藍博彥認為，與其枯等外界研製疫苗，不如化被動為主動，運用動態的沙箱分析技術，冷眼綜觀一切網路使用行為，譬如聆聽你與哪些IP連線，對內對外又傳遞了哪些資料，其實就可揪出可疑檔案，經過分析確認後，在1小時內產出特徵或規則，再透過自動化機制，傳達到相對應資安設備，藉以避免人工介入處理產生時差。

總括而論，面對以雲端為基礎的服務，企業理應建立新的資安防護思維，要清楚知道哪些服務正在何處運行，哪些檔案該接受進一步檢查，欲達此目的，有賴使用者識別能力的展現，把人、行為、內容等元素通通串起，再佐以動態分析、及相對應的資安設備，即可規避諸多風險。

欲求有效管控人、行為與內容，必須利用精簡的實施規則，切忌切換過多畫面，且於完成分析後，亦得以簡單頁面進行事件關聯，以期快速掌握異常形跡；藍博彥強調，資安防護才是目的，至於實施過程，不僅應在部署上力求彈性，也無須耗時做資料整理，因此企業在評選雲端防護系統時，務必將此列為評量重點。