今時今日,企業賴以制定商業決策的依據,不再侷限於關聯式資料庫之單一來源,可能源自電子郵件、TXT文字檔、影音等各式非結構化資料,或出自外部社群網站;這些龐大數據,多不存在於企業資料中心內部,而是遍及四面八方。
在此前提下,企業為了提升決策的品質與速度,少不得需要投入大量運算與分析資源,藉以駕馭巨量資料,但為求突破人力、物力與時間限制,就必須導入虛擬化與雲端運算,形塑共享式資源池,以確保各項資源順利到位。然而,雲端虛擬環境雖有助提升獲取資源的效率,卻也衍生資訊安全疑慮,令企業既期待又怕受傷害。
雲端虛擬化的安全危機
談到虛擬化安全,包括Hypervisor Escape、Hyper Jacking或VM Attacks等全新攻擊手法,都令人聞之色變。例如Hypervisor Escape,先是鎖定Hypervisor漏洞入侵單一Guest VM,再流竄至其他Guest VM大肆竊取資料,這是目前最常見於虛擬伺服器的攻擊手法。如果再進一步談到雲端安全,情況似乎更為棘手,即使是看似相對安全的私有雲,仍可能因為身分驗證、存取管理或稽核審計等管控機制之欠缺,讓內部最高權限者有機可乘,導致機密資料因而外洩。
企業該如何克服邁向虛擬化、雲端後的安全挑戰?有人認為,憑藉眾多單點式防護系統,即可化解諸多難題,但這種做法其實還不足夠,企業真正需要的是一個同時兼具智慧(Intelligence)、整合(Integration)、專業知識(Expertise)等多重特質的安全框架,唯有如此,才能幫助企業檢視各項潛在風險,迅速研擬因應之道。
不可諱言,虛擬化並不等於雲端運算,但唯有倚賴虛擬化技術,方可順利打造資源共享平台,因此虛擬化等同於雲端基礎架構的一部分;既然如此,一個不安全的虛擬機器,當然可能危及整個雲端運算環境,所以企業推動雲端安全防護要踏出的第一步,便是落實虛擬化安全管理!
但在啟動相關管理措施之前,企業需要有所認知,無論如何,針對實體環境的安全防護,仍是不容偏廢的首要之務,如此才能無後顧之憂,繼續針對虛擬主機、虛擬網路、虛擬儲存、Hypervisor、虛擬機器、使用者身分驗證、修補程式、系統維護等各項主題,一步步構築安全防禦機制。
事實上,虛擬化安全技術擁有較高複雜性,再加上攻擊型態不斷翻新,以及愈趨沉重的法規遵循壓力,難免讓企業不知從何著手;此時企業不妨選用功能完整的端點安全管理解決方案,藉以滿足虛擬化的生命週期管理、安全與治理、修補程式管理、核心防護、能源管理等基本防護需求,接著配合虛擬防火牆、虛擬入侵防禦系統、資安事件管理平台(SIEM)等加值型防禦機能,打造嚴密的虛擬安全防護網絡。
鎖定四大關鍵領域 盡力防堵安全缺口
做好虛擬化安全管理,即可確保雲端架構之安全無虞?當然不是,因為虛擬化安全充其量僅是整個雲端安全的其中一環,企業尚須顧慮哪些風險與弱點,才足以明哲保身?資安萬變不離其宗,不管談論哪種安全議題,一定都離不開「人員」、「資料」、「應用」及「基礎架構」等四大關鍵領域,實體環境如此,雲端環境亦然;因此這四大支柱,就是安全防護框架的軸心,可涵蓋絕大部分雲端安全管理需求。
譬如同一位使用者,因應公有雲、私有雲或混合雲等不同環境的資料存取需求,往往需要輸入不同的身分驗證資訊(即帳號密碼),此時可透過聯合式身分認證管理(Federated Identity Management)功能,讓驗證資訊得以互通於不同授信單位,從而建立以使用者為中心的單一簽入環境,這就是人員管理的一環。再者,多租戶共處同一朵雲中,彼此資料理應有所區隔,此即為資料管理的一環。
為了因應外在環境變動,企業必須快速調整策略,便可藉由自動化資源配置(Auto Provisioning)工具,省卻繁複的建構或設定程序,讓新應用得以快速上架,此即為應用管理的一環。雲端運算包含私有雲、公有雲及混合雲等三大類別,不可否認,企業對公有雲的掌控能力明顯較低,為了避免衍生內稽內控死角,必需設法提升對公有雲的可視性與控制力,例如要求服務供應商接受公正單位的稽核,或允許用戶透過e-Discovery等工具直接實施數位鑑識,這些都算是基礎架構管理的一環。
倚靠前述四大拼圖,確實足以拼出完整的雲端安全樣貌,且可同時適應IaaS、PaaS、SaaS等不同應用情境。但為了補強其他未盡之處,亦需在安全防護框架內,盡可能部署兩個重要機制,一是匯集外部安全趨勢與風險研究報告的平台,以利管理者洞燭機先,持續優化安全政策;另一則是智慧化分析功能,幫助企業持續挖掘潛在弱點與威脅,藉以發揮防微杜漸之功效。
當然,企業也需要承擔諸如個資法、SOX或PCI-DSS等法規遵循需求,因此必須引進一套有助於進行風險識別、管理、監控及報告的解決方案,藉此降低資源配置的失誤機率,避免不必要損失,才能真正符合建立防禦架構的初衷。簡而言之,在雲端虛擬安全框架中,應以「治理、風險及法規遵循(GRC)」機制作為制高點,以便讓資訊安全的令旗得以走出IT部門,獲得其他單位的共同配合。
本文作者現為台灣IBM公司技術長暨軟體事業處技術副總。如您對本文有任何想法,歡迎來信交流:isnews@newera.messefrankfurt.com。