應用技術 找到行動化雲端服務的平衡點 智慧應用 影音
工研院-11月論壇
IC975

應用技術 找到行動化雲端服務的平衡點

  • DIGITIMES企劃

精品科技資訊安全顧問兼資安部經理陳伯榆。
精品科技資訊安全顧問兼資安部經理陳伯榆。

當愈來愈多的企業透過雲端技術提供服務,勢必也要對雲端安全,建立良好的基礎概念,精品科技資訊安全顧問兼資安部經理陳伯榆指出,雲端服務的運作及管控,有可能會造成IT部門困擾,唯有與新一代資料外洩防護DLP & DRM技術整合應用,同時考慮行動化趨勢及個人私領域的安全,才能讓企業的雲端服務效益達到極致。

陳伯榆指出,許多公司都會將敏感性與業務資料,留存在員工的手機上,這些行動裝置可能有50%以上的密碼設定,可能是家用與公司的環境重疊,面對快速成長的惡意程式,載具安全防護往往不足,而不斷流竄在雲端上的公司敏感性與業務資料,公私混用的比例,甚至可能超過80%以上,而且資料往往缺乏加密保障,使用者雲端安全的意識不足,都在在形成對資安問題的衝擊。

事實上,企業IT人員通常都會有所疑慮,擔心雲端服務真的安全嗎?會不會有一天不是企業內部有狀況,而是雲端服務造成資安問題?但如果決定不再使用某個雲端服務時,因為資料往往是分散儲存,如何確保資料真的被刪除了?

為了避免雲端服務對企業資安造成影響,陳伯榆指出,企業在雲端服務的安全思維與布局,必須要建立的行動準則,除了任何存取都要請求密碼等認證外,更重要的是要建立零知與零接入許可的概念。

所謂的零知,是指雲端服務公司不該知道資料內容,也不能讀取利用,零接入許可,則是指雲端服務業者絕對無法接觸企業資料,陳伯榆表示,企業在評估後,建立雲端服務政策時,一定要有條款保護,不管是禁用及近用,企業都需要有效管控人與群組、軌跡記錄、近用程度範圍以及技術管控,如雲端服務業者不能利用企業資料,額外進行資料分析,才能確保企業永續經營。

一般而言,企業在雲端防護設計與布局,通常會考慮3個面向,首先是完全禁止連接外部網路,如科學園區有許多企業,都會這麼做;其次則是利用加解密以及DLP解決方案,且需能夠滿足雲端服務的需要,才是考量的重點;最後則是完全依賴雲端服務的保護,所以企業一定要有自我安全防護的手段。

要兼顧安全與雲端服務的多變性,陳伯榆認為,企業首先要掌握雲端服務的特性。如瀏覽器的介面已經取代許多軟體本身的介面,如雲端列印就是透過瀏覽器進行登入及管理介面;雲端APP往往都需要下載安裝,而且是各種平台都可以加以安裝,而且APP通常會有Local Disk同步雲端機制,都潛藏了資料外洩的風險。

值得注意的是,複雜分散與動態的雲端環境,往往讓IP禁了一個,又來一個,SSL通道無法有效過濾分析。但如果用防火牆或資安設備來阻擋,又可能會造成許多應用無法使用,由於同一個IP也會提供不同的服務,一旦攔阻也會造成許多正常服務無法使用,DNS記錄也會會隨地區而不同,從非VPN服務的翻牆記錄就可看出端倪。

陳伯榆指出,Google為了試圖降低TCP負載,實驗改用UDP方式取代TCP傳遞資料與進行Google網路服務的Google QUIC計畫值得關注。因為Google QUIC如果進行順利,企業IT人員可能面臨管控上的困難。

此外,微軟搭配Akamai機制,是要分散解決全球使用OneDrive的使用模式,也增加IT管理的難度,再加上Office 365或是2013的用戶不落地儲存,都可能直接將資料儲存到雲端,企業無法有效管控。

但企業不能嘗試阻擋Akamai,因為太多應用會使用Akamai結構,如Dropbox、Adobe等。Office也可以透過Plugin只能將資料儲存到其他雲端儲存空間。而在Internet目前提供雲端與檔案分享的儲存服務非常多,而且各自有各自的APP及應用環境,企業主必須要準備好各種可能解決方案與資訊。

除了雲端服務公司要開始思考加密保護作業外,企業也需要一把自己加解密金鑰,才能做到零知及零接入。陳伯榆指出,企業保有雲端資料加解密能力,才能滿足雲端防護架構,進而達成起雲端防護目的。

新一代DLP&DRM必須要考慮雲端服務如何接取,進而發展出雲端瀏覽鑑別管控、雲端APP安裝管控以及雲端特殊Plugin服務等措施。而在考慮誰可以使用的情況下,也要有記錄可以查核,或是追蹤警示分析,以及進行群組管理。

整體而言,雲端行動時代的DLP,所要具備的功能條件,陳伯榆認為,包括要適用相關雲端服務、滿足企業雲端「近用」政策、能夠處理「SSL」安全協定、可以處理「特殊」雲端服務、瀏覽器有一套好的管控機制、能夠處理大型雲端服務的分散架構、提供線上即時的OA應用服務、IT部門便可彈性管控企業網路。

在數位權利管理(DRM)機制,任何傳出去的資料,必須保有閱讀使用的彈性與平衡,如果檔案加密後,增加閱讀的困難,就沒有意義,所以管理與使用要有保有彈性。

只要資料在雲端有防護機制,就不怕分享風險,陳伯榆指出,企業內部只要做好保護,再委託雲端服務,會有更好的保護。隨著雲端與行動化趨勢的快速成熟,DLP&DRM防護、雲端資料零知及零接入的思維需要再深化,才能迎接新資訊服務所造成的衝擊。