全面网安防护思维 建构稳固混合云
回顾以往,企业只要将基础架构、应用环境建设妥当,再搭配适当的管控作为,即不难维持各项服务的畅行无阻;但这个沿袭已久的运作模式,如今进入云端时代,是否持续适用?
Palo Alto技术经理蓝博彦指出,以往企业针对不同目的部署之网安产品或行为管控设备,确实较易收到效果,但如今随着云端应用到位,整个局势已经大变。因为员工可以更自由开心地使用大量服务,对于提升生产力固然有益,但也意外开启新型态攻击或恶意程序的传递管道,且现今黑客不执着求名而求利,目的就是要偷取数据,也愈来愈懂得规避企业现有管理机制与防护措施;如果企业未能洞察形势转变,依旧迷信传统如Port-based等控管模式,恐无法善尽机敏数据保护之责。
唯今之计,企业意欲明哲保身,必须先建立有效的分析与识别机制,深切了解网络内何人在做何事、做的事情有无危害,掌握这些行为动向,才能有效判断其风险,再以相对应机制进行有效管控。
蓝博彦表示,论及云端安全,有三个检视重点,分别是流量内夹杂了什麽东西?谁在使用?传输的数据有无威胁?只因现今云端崛起,已完全打破网络界线,尤其随着IPv6的导入,管理者已无法单纯倚靠IP辨认使用者身份,更难以判断此IP是否值得信任,从而更加凸显使用者识别之重要性。
因此在网安事件管理分析上,企业必须有能力追查稽核网络上究竟跑些什麽东西,然后从行为角度研判,哪些人或哪些部门可用什麽、不可用什麽,再进一步深究连线通道带来的信息或档案内容,以判断哪些流量必须予以拦阻,先行接受更深层的网安检测。
尤其以私有云环境而论,大家都可能使用相同的云端服务或主机,上面跑的VM Instance,存取管道或目的地也如出一辙,但即使如此,仍需对背后使用者的身份、权限、数据传输内容详加查核与控管。
回过头来看,企业可能早在导入云端前,就已部署多项网安或管控产品,不论是独立防护系统或整合式的UTM,如今是否符合需求?恐怕都有盲点存在。例如单一产品,若非费心倚赖SIEM或人工查核,否则彼此事件记录难以进行关联,至于UTM,其实骨子里也是多套系统的堆叠,情况未必好到哪里去,且一旦功能全开,防护性能便瞬间滑落。
而在公有云方面,企业承租IDC空间,原本只想到在前端设下保护机制,现已警觉到需于虚拟机器内直接进行人员、服务、病毒等第7层检查。但其实光做到这里,显然还是不足的,因为虚拟机器有任何新增、异动或删除,目前大致能与交换器或路由器等网络设备连动,但网安系统却往往是状况外,不会立即知晓这些变化,除非用户雇用专门人力24小时紧盯变动、随即做出调整,但可行性甚低;因此如何藉由自动化机制,补齐虚拟环境、网络、安全之间的信息落差,立即调整政策,实为重大课题。
企业将服务放入云端,到底安不安全?蓝博彦认为,与其人云亦云,不如相信自己,平心看待新型攻击模式的变化,理应不难发觉到,现今散播恶意程序的主要管道,已成为Client端应用程序,因为黑客通常会在Client连结到网际网络的过程中,寻求突破点,甚至根据特定对象量身订制攻击程序;如果以过去用以保护服务器的IPS为例,搭配静态特徵码分析技术,面对这般顽强的攻击手法(例如APT),可说无计可施。
面对定制化成分愈来愈高的恶意攻击,企业如何是好?蓝博彦认为,与其枯等外界研制疫苗,不如化被动为主动,运用动态的沙箱分析技术,冷眼综观一切网络使用行为,譬如聆听你与哪些IP连线,对内对外又传递了哪些数据,其实就可揪出可疑档案,经过分析确认后,在1小时内产出特徵或规则,再透过自动化机制,传达到相对应网安设备,藉以避免人工介入处理产生时差。
总括而论,面对以云端为基础的服务,企业理应建立新的网安防护思维,要清楚知道哪些服务正在何处运行,哪些档案该接受进一步检查,欲达此目的,有赖使用者识别能力的展现,把人、行为、内容等元素通通串起,再佐以动态分析、及相对应的网安设备,即可规避诸多风险。
欲求有效管控人、行为与内容,必须利用精简的实施规则,切忌切换过多画面,且于完成分析后,亦得以简单页面进行事件关联,以期快速掌握异常形迹;蓝博彦强调,网安防护才是目的,至于实施过程,不仅应在部署上力求弹性,也无须耗时做数据整理,因此企业在评选云端防护系统时,务必将此列为评量重点。