雲端應用服務的全方位資料安全保護

中飛科技技術支援部協理 張偉翰。

隨著雲端運算應用服務日益普及，舉凡政府機關的防救災、便民、財稅及警政服務，或是大型及中小企業的各式資料庫管理，加上數位家庭、智慧醫療、智慧交通、智慧校園及行動商務等應用，對雲端資料中心的依賴度愈來愈高。中飛科技技術支援部協理張偉翰指出，雲端資料中心雖具備超大規模、無限延展及彈性使用的特性，讓雲端應用服務的發展充滿未來性，但雲端運算應用情境的安全問題，更需要我們關注。

結構化資料必須特別保護

張偉翰表示，資料可以分為結構化及非結構化兩種，雲端資料中心存放的資料，多半屬於結構化資料，由於結構化資料往往是許多資訊如非結構化資料的源頭，因此需要特別保護。至於非結構化資料如業務文件、程式原始碼、財務資料等，多半存放在企業本身的檔案伺服器中，由於存放位置零散，且頂多是用目錄控管，也因此雲端資料中心的管理思維，其實與檔案伺服器的管理思維，有很大的不同。

一般而言，雲端資料中心的資安漏洞，包括管理者本身、資料存取的過程、開放平台的其他使用者本身。為了確保雲端資料中心的資料安全，張偉翰認為，完整的雲端資料中心資安解決方案，包括網頁應用程式、檔案及資料庫，都必須做好安全防禦。

網頁應用程式要避免外部攻擊

以網頁應用程式為例，由於可以直接存取資料庫，也因此成為外來攻擊的主要管道。張偉翰建議，雲端資料中心可以透過網頁動態建模技術，保護可能受到攻擊的應用程式，同時要建立完整的負面列表，包括伺服器平台入侵防禦、網頁及網站服務攻擊、零時差蠕蟲攻擊等，並設下多層次防禦，正確的阻斷攻擊，因為很多看似攻擊的行為，有時候其實是合法的，所以雲端資料中心一定要制定一系列的規則，才能避免誤判。

此外，網頁應用程式在開發時，最好能與弱點偵測軟體配合，管理者可依據排程修正及測試系統弱點，並可減少緊急修改修正應用程式的週期，還可監視嘗試突破已知弱點的攻擊，確保應用程式的安全及運作效率。

檔案保護要注意使用者權限管理

至於檔案保護，張偉翰認為，最主要的管理關鍵，在於資料源頭的控管，確保業務上需要存取的人，才能碰觸資料。要考慮的因素很多，包括誰擁有這個檔案？誰在使用或使用過這個檔案？誰有使用權限？什麼時候需要阻擋使用者的存取？使用權限是否開太大？檔案需要備份還是刪除等。

張偉翰指出，檔案保護技術必須具備完整的檔案稽核機制，才能有清晰廣泛的可視性，掌握所有的資料夾及檔案，但又不會影響檔案系統效能，也不需要更改應用程式、伺服器及使用者習慣。

檔案保護機制還應該能夠自動化的記錄各種使用行為，並提供詳細的分析統計資訊，並能即時套用安全政策，同時能夠找出敏感資料位置，進行分類，配合安全政策，才能對應到與營運政策相關的檔案安全。

資料庫的安全稽核要獨立

至於資料庫的稽核與安全，包含評估、設定政策/控制、監控與執行，以及統計及報表分析，關鍵在於要讓稽核獨立，做好未授權的管理者使用行為控管。如自動學習資料庫使用者及應用程式存取資料庫的行為模式，包括使用者、來源IP、host、OS User、來源應用程式等資訊，建立資料庫存取白名單，作為自動評估、稽核及保護的基準。

張偉翰強調，全球被發現、報告的新安全威脅不斷增加，管理者一定要時時注意真實世界的網路流量，並執行滲透測試，找尋未被發現、公布的弱點，並持續追蹤匯入攻擊來源，同時不斷檢測用戶端，才能持續提供最新的保護，也才能讓雲端資料中心的資料安全，做到全方位的保護。