根據研究機構Gartner在4月發布的調查結果指出,到了2015年企業佈署的資安產品技術約10%將由雲端提供,Gartner預期到2016年雲端安全服務市場規模將達到42億美金。其中最受歡迎的雲端資安服務是郵件安全服務,受到74%歐美地區受訪企業的青睞,其次由於PCI-DSS的要求使得資料憑證化(Tokenization)也受到27%的支持,其他服務還包括SIEM(資安事件管理)、弱點管理、程式碼檢測、身分認證與單一登入等。
在「雲端資安服務成熟度 用證照或稽核方式來評估」已提到上述熱門的資安雲端服務(Security as a Service, SecaaS)由於具備經濟、簡化佈署、彈性調整等優勢,本文將從以下提供SecaaS服務的廠商了解企業實際情形。
不只SMB 大型企業對線上郵件服務躍躍欲試
網擎資訊線上服務部協理李孟秋指出,Openfind在線上郵件服務市場已經營10多年,在2003~2005年間曾出現過一波200%的成長高峰期,如今自去(2012)年開始又看到第二波高成長需求的出現。李孟秋認為主要原因是,雲端運算在前幾年開始被媒體大量報導,於是有企業從SaaS開始思考雲端應用,許多中小企業從線上郵件開始步入雲端。此外去年日本311大地震後,企業更積極因應災難備援,有日本企業轉投資中、台企業,以便將系統異地備援。而Openfind有些原本On Premise的中大型企業也逐漸轉向SaaS服務,原因是原本的伺服器出現故障準備換機,這時考慮為了達到更好的可用性,是要再買機器做HA或乾脆直接搬上SaaS。目前Openfind客戶On Premise與On Demand以營收貢獻相比,約為3:1,以客戶家數比則為2:1。
自4月起代理Google apps的神通資科行政支援中心資訊服務研發處處長趙元瀚表示,不只中小企業適用SaaS,擁有數萬名員工的國外企業也用Google apps這樣的SaaS服務。而台灣除了金融業受限法規要求資料必須儲存在當地資料中心外,包括製造、科技、服務、旅遊等業者自今年初起都積極評估導入中。
節省成本
究竟採用線上郵件服務與自建專屬軟硬體設備的郵件系統相比,實際省下多少費用?和泰汽車為了統一管理旗下經銷商不同的電子郵件系統,決定導入微軟Office 365,過去資訊部門的日常工作包括資安管理、系統維護都委外處理,實際統計下來約節省整體費用的1/3。微軟進一步以1500人的企業為例,採用Office 365 Exchange Online與Exchange On-premise架構相比,三年下來將節省4仟多萬台幣,詳見下表。
資料來源:台灣微軟提供,2013年5月
而網擎則以500人企業為例分析,若採用MailCloud信箱代管服務,每個帳號一年僅需幾百元,500個帳號約需數十萬元,若自建郵件系統則至少需兩百萬元,兩者相比保守估計約差4倍,見下表。
資料來源:Openfind提供,2013年5月
取得認證
儘管有顯著降低費用的效益,但許多企業對雲端服務仍存有如何確保雲端服務高可用性、缺乏彈性的SLA、敏感log資料的保管等疑慮。與美國郵件代管大廠Proofpoint合作的阿碼科技創辦人兼執行長黃耀文指出,在美國Proofpoint的客戶幾乎百分百已都採取On Demand模式,但在亞洲卻仍然是On Premise模式為多數,由於美國企業對於雲端的需求較為成熟,對雲端供應商的認證標準也較多,Proofpoint目前已取得SSAE 16(即SAS 70前身)、FISMA(聯邦資安法規)所要求的安全認證。Google apps也已取得SSAE 16/ISAE3402 TypeⅡ SOC2 以及ISO 27001驗證,可提供99.9%的可用性。而微軟取得的第三方驗證則包括ISO 27001、歐盟示範條款、HIPAA商業夥伴和約、FISMA等。
李孟秋認為,以資訊安全C.I.A.而言,自建郵件系統雖然可以維持郵件資料的機密性,但採用雲端服務對於可用性的提升更為明顯。Openfind機房位於中華電信IDC,目前系統可用性可維持99.97%以上,並致力於PDCA改善提升。Openfind亦於2009年取得ISO 27001驗證並持續每年複檢。
如何整合
線上郵件服務儘管有著提供最新即時安全防護的優點,但相較於自建系統易於與企業內部其他系統整合,線上郵件服務廠商皆表示將提供API讓企業介接。趙元瀚指出,目前許多第三方商用應用程式如Salesforce.com已完成與Google apps的整合,在Google Apps Marketplace上可找到更多已整合好的SaaS,此外若需與企業內部系統整合,Google也提供多種API。Openfind也表示可提供API,讓企業IT人員可以將線上郵件系統與內部差勤、請假系統或企業EIP整合。
台灣微軟資訊工作者事業群資深產品經理張立業則表示,Exchange Online與Exchange Server同樣支援Exchange Web Services API的應用整合。企業可以從內部部署、Windows Azure或其他代管服務中執行的應用程式存取在Exchange Online的資料。亦可以透過EWS執行特定動作,例如查詢信箱內容、張貼行事曆事件、建立工作,或根據電子郵件訊息的內容觸發特定動作。和泰汽車即是採用EWS API的應用整合,將Exchange Online 與其內部系統串連,使業務人員可以透過手持裝置,經由雲端伺服器,掌握庫存、行事曆、客戶資料等資訊。
進階功能:法規遵循、APT防護
企業對於郵件搬上雲端另一個考量因素是如何符合法規,以個資法來說,就是如何避免個資透過郵件外洩出去,如果是自建郵件系統,可以搭配DLP解決方案來過濾郵件。此外,如何保護郵件不受APT滲透攻擊也是關注焦點,可見郵件除了基本收送信之外,也需要更多的防護。
目前Google apps上預設提供的郵件過濾功能,可透過正規表示式來過濾郵件,但目前只支援英文。如有更多關於遮罩保護的需求,神通提供客製解決。另外,關於法規遵循方面,Google Apps保管箱(選配)提供進階的郵件歸檔封存與電子蒐證功能,此為Postini所提供的技術。而在APT防護方面,神通資科資訊研發部資深專案經理陳少柏指出,Google apps沒有推出特別的APT防護模組,因為Google搜尋引擎及Gmail高市佔率的關係,使得Google擁有豐富的惡意網站及惡意郵件資訊,加上Chrome瀏覽器防止惡意網站的保護,APT攻擊在Gmail的成功率一向不高。Openfind的MailCloud當中則提供三種SecaaS的加值服務,包括郵件歸檔備份、稽核防護、以及與XecureLab合作提供APT過濾防護。
黃耀文指出,2012年APT防護需求更為白熱化,幾乎所有資安廠商都為此積極準備,要不自行成立新的APT研究團隊(如Palo Alto),購併沙盒技術廠商(如McAfee購併ValidEdge),或者與其聯盟合作。阿碼科技也於去(2012)年起在Proofpoint Email服務當中提供APT的偵測與防護(Targeted Attack Protection),同時也負責Proofpoint於台灣市場的代理。
更多雲端資安服務:源碼檢測、身分認證、網站安全
除了郵件安全之外,程式碼檢測、身分認證單一登入等也被認為是適合藉由雲端來提供的資安服務。黃耀文指出,阿碼科技自2006年即佈局SecaaS市場,美國市場接受度較高,CodeSecure 除了依使用模式分成 Web-based on demand 與 on premise 兩種模式外,也依商業模式分成年租服務與永久授權兩種。目前美國客戶使用Codesecure源碼檢測年租服務與永久授權的比例約為8:2。年租的費用僅約為永久授權的1/3。除費用便宜之外,採用SecaaS線上服務不需擔心版本更新問題,永遠使用最新版本;其次,對企業在預算編列上也較為簡單,為每年固定預算。
目前市場上,線上源碼檢測服務的收費高低價差不小,黃耀文認為源碼檢測不是掃描後提供報表就結束,阿碼會根據掃描出的報表結果提供顧問諮詢,協助進行程式碼修改,並回過來調校系統的設定值,以維持系統的準確率。他認為security不單只是因應法規或客戶要求交付掃描報告結案而已,如果沒有徹底修復漏洞,系統還是可能被入侵。
目前阿碼除了On Premise與On Demand兩種模式外,也提供折衷型的服務建置模式,即企業將軟硬體設備放在自家機房,但以年費方式購買服務,類似租賃概念但同樣享有SaaS永遠使用最新版本的好處。適合擔心SaaS廠商的系統可用性問題或受合約限制程式碼絕不能外流的企業。黃耀文舉例,某軟體開發廠商由於與其客戶簽訂程式碼不能外流的合約,因此就是在其私有雲環境中架構Codesecure。他建議,想走向雲端應用環境的企業,可先從此類折衷模式漸進開始,先享有採購簡化的好處,也不需擔心將來系統版本升級時要同步處理資料遷移。
至於談到雲端身分識別與單一登入,台灣市場目前還未見此需求。歐美地區由於SaaS的應用已成為主流,企業開始需要將外部常用SaaS的帳號與內部自行開發的應用系統帳號做單一登入集中管理,反觀台灣市場,儘管中華電信雲市集已有將近80家軟體廠商上架,但企業對SaaS的接受度似乎才剛開始。捷而思董事長吳建東認為,不能等到SaaS的應用多才開始考慮單一登入,PaaS平台業者應該負起串連SaaS之間帳號安全登入的責任,最好是在系統要在雲端上架前就應考慮到此問題。對此,趙元瀚也已看到未來在SaaS上單一登入(SSO)的需求,目前正在研究解決技術,未來會在MiCloud上提供SSO,並加強SSO的安全性。.jpg "賽門鐵克產品管理資深總監Robert Hoblit表示,程式碼簽章透過SaaS提供能解決現有模式的問題。")
除了上述幾種SecaaS服務,網站安全SSL加密憑證也是一種透過雲端已久的線上服務。賽門鐵克網站安全解決方案(前Verisign)產品管理資深總監Robert Hoblit指出,一開始網站安全只包括網站合法性身分確認與SSL加密等面向,隨著網站風險的提升,如網站使用第三方程式碼、plug-in套件,以及現今出現惡意廣告的問題,網站需要加入惡意程式的掃描、弱點掃描等保護。網站安全與郵件安全及防毒一樣,是更新頻率高、需要維持在最新即時防護的技術,也因此會被認為適合採用SaaS模式。Hoblit進一步指出,接下來程式碼簽章(code signing)也將走向SaaS提供模式,可望解決過去屢次傳出合法的程式碼簽章遭駭客竊取而用於惡意程式簽章的問題,SaaS模式可因應過去簽章發出後追蹤(Tracking)困難等問題。現已可提供針對Java環境的API,而針對微軟環境的API則預計在今年10月提供。
綜上所述,透過雲端技術提供更即時的資安防護是SecaaS模式所帶來的效益,而費用的節省也已得到許多企業的證實。過去幾年企業IT部門大量佈署虛擬化,但仍有企業對於將關鍵資料庫與儲存系統虛擬化持保留態度,也因此未明顯看出整體費用的下降,反觀SaaS的模式已在歐美等地盛行,除了Salesforce.com受歡迎,也有許多雲端ERP或SAP代管的模式。雲端服務已沒有太大國界之分,隨著供應端蓬勃發展,服務模式更趨成熟,假以時日更多台灣企業可以安心擁抱雲端。