应用技术 找到移动化云端服务的平衡点
- DIGITIMES企划
-
当愈来愈多的企业透过云端技术提供服务,势必也要对云端安全,建立良好的基础概念,精品科技信息安全顾问兼网安部经理陈伯榆指出,云端服务的运作及管控,有可能会造成IT部门困扰,唯有与新一代数据外泄防护DLP & DRM技术整合应用,同时考虑移动化趋势及个人私领域的安全,才能让企业的云端服务效益达到极致。
陈伯榆指出,许多公司都会将敏感性与业务数据,留存在员工的手机上,这些移动设备可能有50%以上的口令设定,可能是家用与公司的环境重叠,面对快速成长的恶意程序,载具安全防护往往不足,而不断流窜在云端上的公司敏感性与业务数据,公私混用的比例,甚至可能超过80%以上,而且数据往往缺乏加密保障,使用者云端安全的意识不足,都在在形成对网安问题的冲击。
事实上,企业IT人员通常都会有所疑虑,担心云端服务真的安全吗?会不会有一天不是企业内部有状况,而是云端服务造成网安问题?但如果决定不再使用某个云端服务时,因为数据往往是分散储存,如何确保数据真的被删除了?
为了避免云端服务对企业网安造成影响,陈伯榆指出,企业在云端服务的安全思维与布局,必须要建立的移动准则,除了任何存取都要请求口令等认证外,更重要的是要建立零知与零接入许可的概念。
所谓的零知,是指云端服务公司不该知道数据内容,也不能读取利用,零接入许可,则是指云端服务业者绝对无法接触企业数据,陈伯榆表示,企业在评估后,建立云端服务政策时,一定要有条款保护,不管是禁用及近用,企业都需要有效管控人与群组、轨迹记录、近用程度范围以及技术管控,如云端服务业者不能利用企业数据,额外进行数据分析,才能确保企业永续经营。
一般而言,企业在云端防护设计与布局,通常会考虑3个面向,首先是完全禁止连接外部网络,如科学园区有许多企业,都会这麽做;其次则是利用加解密以及DLP解决方案,且需能够满足云端服务的需要,才是考量的重点;最后则是完全依赖云端服务的保护,所以企业一定要有自我安全防护的手段。
要兼顾安全与云端服务的多变性,陈伯榆认为,企业首先要掌握云端服务的特性。如浏览器的界面已经取代许多软件本身的界面,如云端打印就是透过浏览器进行登入及管理界面;云端APP往往都需要下载安装,而且是各种平台都可以加以安装,而且APP通常会有Local Disk同步云端机制,都潜藏了数据外泄的风险。
值得注意的是,复杂分散与动态的云端环境,往往让IP禁了一个,又来一个,SSL通道无法有效过滤分析。但如果用防火墙或网安设备来阻挡,又可能会造成许多应用无法使用,由于同一个IP也会提供不同的服务,一旦拦阻也会造成许多正常服务无法使用,DNS记录也会会随地区而不同,从非VPN服务的翻墙记录就可看出端倪。
陈伯榆指出,Google为了试图降低TCP负载,实验改用UDP方式取代TCP传递数据与进行Google网络服务的Google QUIC计划值得关注。因为Google QUIC如果进行顺利,企业IT人员可能面临管控上的困难。
此外,微软搭配Akamai机制,是要分散解决全球使用OneDrive的使用模式,也增加IT管理的难度,再加上Office 365或是2013的用户不落地储存,都可能直接将数据储存到云端,企业无法有效管控。
但企业不能尝试阻挡Akamai,因为太多应用会使用Akamai结构,如Dropbox、Adobe等。Office也可以透过Plugin只能将数据储存到其他云端储存空间。而在Internet目前提供云端与档案分享的储存服务非常多,而且各自有各自的APP及应用环境,企业主必须要准备好各种可能解决方案与信息。
除了云端服务公司要开始思考加密保护作业外,企业也需要一把自己加解密金钥,才能做到零知及零接入。陈伯榆指出,企业保有云端数据加解密能力,才能满足云端防护架构,进而达成起云端防护目的。
新一代DLP&DRM必须要考虑云端服务如何接取,进而发展出云端浏览监别管控、云端APP安装管控以及云端特殊Plugin服务等措施。而在考虑谁可以使用的情况下,也要有记录可以查核,或是追踪警示分析,以及进行群组管理。
整体而言,云端移动时代的DLP,所要具备的功能条件,陈伯榆认为,包括要适用相关云端服务、满足企业云端「近用」政策、能够处理「SSL」安全协定、可以处理「特殊」云端服务、浏览器有一套好的管控机制、能够处理大型云端服务的分散架构、提供在线实时的OA应用服务、IT部门便可弹性管控企业网络。
在数码权利管理(DRM)机制,任何传出去的数据,必须保有阅读使用的弹性与平衡,如果档案加密后,增加阅读的困难,就没有意义,所以管理与使用要有保有弹性。
只要数据在云端有防护机制,就不怕分享风险,陈伯榆指出,企业内部只要做好保护,再委托云端服务,会有更好的保护。随着云端与移动化趋势的快速成熟,DLP&DRM防护、云端数据零知及零接入的思维需要再深化,才能迎接新信息服务所造成的冲击。
