善用資料加密機制 保障企業資訊安全

Certes Networks VP, APAC Sales Michael Lyu

隨著雲端運算技術日漸成熟及其可為企業創造的各項競爭優勢，現在有越來越多的公司已開始計畫將其IT應用環境及公司營運資料移植到雲端平台上運作，但這些系統及資料在雲端運算平台本身及傳輸過程中的安全性是否能獲得足夠保證，卻仍然讓眾多使用者感到十分憂心。瑞奇數碼專案經理呂建鋒表示，由於同一雲端平台運作環境上常存在著許多的用戶，而雲端服務供應商於這些用戶之間往往只有採用一些簡單的虛擬方式進行隔離，因此若是缺乏進一步的安全機制加以強化，則很容易發生資料外洩、駭客入侵竊取資料…等危害企業資料安全的事件，使得公司營運與競爭力受到嚴重的損失。

舉例來說，為了確保企業雲端平台對內、對外進行資料傳輸的安全性，有不少單位採用了Metro Ethernet、MPLS、IP VPN、Fiber…等一般人們認為相對較為安全的線路來做為其雲端網路，但有資料顯示，駭客只需使用一個成本不到1,000美元的光纖擷取器，就可以透過Micro Bend技術，在不破壞光纖外層的情況下竊取封包以偷窺企業資料。而2009年歐洲黑帽聯盟會議所發表的「如何透過竄改MPLS標籤來竊取資料」議題，更揭露出MPLS網路其實也並不安全。「信任式的虛擬網路不是完全可靠，要達到真正安全的虛擬網路，還是得需要企業自身採取相關的必要措施才行。」呂建鋒這麼強調。

現在市場上已經有各種資安軟硬體產品，如防火牆、ISP入侵防護、DLP資料遺失防護…等機制，可用來強化企業資料的安全性。「但即便是導入再多的防護措施，一旦資料離開企業並進入雲端環境之後，我們應該要如何繼續確保其仍安全無虞呢？」呂建鋒認為，只有透過資料加密技術的協助，才能真正確保其安全性。「資料加密不僅可避免資料遭人竊取或受他人竄改，還能確認資料真正的來源。」不過儘管加密機制如此重要，但由於現行市場上許多加密產品會常產生Overhead狀況，容易使VoIP、視訊會議…等講求效能的服務發生效能低落及延遲，而企業既有網路環境不僅必須因應需求進行更換，後續頻寬亦無法再行擴充，「這些因素導致現在許多企業仍遲遲不敢將資料傳輸加密列入其資安方案中。」

這是因為傳統資料加密(如IP Sec)所採用的是點對點通道模式(Tunnel Mode)，在進行加密連線時需要先行建立通道，而各點之間通道建立除了會耗用大量的時間之外，只要每新增一個點，其既存的所有點即需要重新再建立一次通道，因此無法配合保留原本網路的高可用性及負載平衡，造成傳輸效能的低落。「解決方式是利用群組加密的模式。」Certes Networks VP, APAC Sales Michael Lyu以該公司所推出的加密器產品為例，只要將加密金鑰統一由TrustNet Manager這套中央網管軟體進行控管，並再透過TLS加密傳送至線上所有加密器即可。「這種加密模式使企業線上所有設備不需再兩兩建立加密通道，不僅能解決傳統資料加密方式的問題，也因為沒有複雜的通道需要建置，使得管理變得更加容易。」

以雲端服務安全為例子，通常大型Data Center與雲服務供應商所使用的大頻寬加密設備建置成本很高，一般企業較難取得；傳統以通道為基礎的加密機制，其服務只到雲端服務入口，對雲端內部的資料缺乏足夠保護。「除了加密所需金鑰及加密連線規則控制在雲服務供應商手上，企業多半無法主動掌握外，」Michael Lyu表示，IPSec加密以通路為基礎的運作機制，事實上也很難拓展到數以千計的VMs上。「此時我們便可使用能夠運行在VM環境下的Certes雲端加密解決方案─Virtual CEP 虛擬加密器，再搭配Certes實體加密器產品，以便讓資料在其傳輸至虛擬機器的路徑上均完全處於加密狀態外，企業亦可藉由TrustNet Manager的幫助，主動進行加密金鑰與連線規則的控管。」而其所具備的群組加密特性，更使得資料加密機制可以輕易拓展到雲端環中數以千計的VMs上實施。

根據雲端安全聯盟的建議，即便是在雲端供應商的內部網路進行資料傳輸，為了確保敏感性資料的安全性，在過程中都應該要全程進行資料加密。「至於金鑰管理與政策設定的權利則應交予給客戶，以避免雲端供應商與客戶之間因法律要求而被迫提供資料時產生衝突。」呂建鋒表示，使用雲端平台並不代表所有的管理責任都委由雲端供應商處理，因應角色定位與權責範圍的不同，雲端管理機制應該被分層處理，讓供應商及使用者能夠管理好自己部分。「企業現在應該要認知到：採取主動措施將雲端中的資料進行加密處理，會是符合上述雲端安全聯盟建議的唯一解決方案。」呂建鋒這麼認為。