全面网安防护思维　建构稳固混合云

Palo Alto技术经理 蓝博彦

回顾以往，企业只要将基础架构、应用环境建设妥当，再搭配适当的管控作为，即不难维持各项服务的畅行无阻；但这个沿袭已久的运作模式，如今进入云端时代，是否持续适用？

Palo Alto技术经理蓝博彦指出，以往企业针对不同目的部署之网安产品或行为管控设备，确实较易收到效果，但如今随着云端应用到位，整个局势已经大变。因为员工可以更自由开心地使用大量服务，对于提升生产力固然有益，但也意外开启新型态攻击或恶意程序的传递管道，且现今黑客不执着求名而求利，目的就是要偷取数据，也愈来愈懂得规避企业现有管理机制与防护措施；如果企业未能洞察形势转变，依旧迷信传统如Port-based等控管模式，恐无法善尽机敏数据保护之责。

唯今之计，企业意欲明哲保身，必须先建立有效的分析与识别机制，深切了解网络内何人在做何事、做的事情有无危害，掌握这些行为动向，才能有效判断其风险，再以相对应机制进行有效管控。

蓝博彦表示，论及云端安全，有三个检视重点，分别是流量内夹杂了什麽东西？谁在使用？传输的数据有无威胁？只因现今云端崛起，已完全打破网络界线，尤其随着IPv6的导入，管理者已无法单纯倚靠IP辨认使用者身份，更难以判断此IP是否值得信任，从而更加凸显使用者识别之重要性。

因此在网安事件管理分析上，企业必须有能力追查稽核网络上究竟跑些什麽东西，然后从行为角度研判，哪些人或哪些部门可用什麽、不可用什麽，再进一步深究连线通道带来的信息或档案内容，以判断哪些流量必须予以拦阻，先行接受更深层的网安检测。

尤其以私有云环境而论，大家都可能使用相同的云端服务或主机，上面跑的VM Instance，存取管道或目的地也如出一辙，但即使如此，仍需对背后使用者的身份、权限、数据传输内容详加查核与控管。

回过头来看，企业可能早在导入云端前，就已部署多项网安或管控产品，不论是独立防护系统或整合式的UTM，如今是否符合需求？恐怕都有盲点存在。例如单一产品，若非费心倚赖SIEM或人工查核，否则彼此事件记录难以进行关联，至于UTM，其实骨子里也是多套系统的堆叠，情况未必好到哪里去，且一旦功能全开，防护性能便瞬间滑落。

而在公有云方面，企业承租IDC空间，原本只想到在前端设下保护机制，现已警觉到需于虚拟机器内直接进行人员、服务、病毒等第7层检查。但其实光做到这里，显然还是不足的，因为虚拟机器有任何新增、异动或删除，目前大致能与交换器或路由器等网络设备连动，但网安系统却往往是状况外，不会立即知晓这些变化，除非用户雇用专门人力24小时紧盯变动、随即做出调整，但可行性甚低；因此如何藉由自动化机制，补齐虚拟环境、网络、安全之间的信息落差，立即调整政策，实为重大课题。

企业将服务放入云端，到底安不安全？蓝博彦认为，与其人云亦云，不如相信自己，平心看待新型攻击模式的变化，理应不难发觉到，现今散播恶意程序的主要管道，已成为Client端应用程序，因为黑客通常会在Client连结到网际网络的过程中，寻求突破点，甚至根据特定对象量身订制攻击程序；如果以过去用以保护服务器的IPS为例，搭配静态特徵码分析技术，面对这般顽强的攻击手法(例如APT)，可说无计可施。

面对定制化成分愈来愈高的恶意攻击，企业如何是好？蓝博彦认为，与其枯等外界研制疫苗，不如化被动为主动，运用动态的沙箱分析技术，冷眼综观一切网络使用行为，譬如聆听你与哪些IP连线，对内对外又传递了哪些数据，其实就可揪出可疑档案，经过分析确认后，在1小时内产出特徵或规则，再透过自动化机制，传达到相对应网安设备，藉以避免人工介入处理产生时差。

总括而论，面对以云端为基础的服务，企业理应建立新的网安防护思维，要清楚知道哪些服务正在何处运行，哪些档案该接受进一步检查，欲达此目的，有赖使用者识别能力的展现，把人、行为、内容等元素通通串起，再佐以动态分析、及相对应的网安设备，即可规避诸多风险。

欲求有效管控人、行为与内容，必须利用精简的实施规则，切忌切换过多画面，且于完成分析后，亦得以简单页面进行事件关联，以期快速掌握异常形迹；蓝博彦强调，网安防护才是目的，至于实施过程，不仅应在部署上力求弹性，也无须耗时做数据整理，因此企业在评选云端防护系统时，务必将此列为评量重点。