觀點

[專訪] 雲端資安: 應用程式安全與服務可用性

2016 / 01 / 19
編輯部
[專訪] 雲端資安: 應用程式安全與服務可用性

 雲端平台與實體機房是兩種截然不同的IT架構,資安防禦措施與風險也不同,F5建議,面對雲端全新資安挑戰,企業在防禦措施上也要有所改變,著重在應用程式本身與雲平台可用性兩點,才能安心享受雲端所帶來的效益。

企業對雲端的接受度越來越高,許多研究調查機構都預測,2016年企業IT最主要的趨勢就是雲端,有別於傳統將非核心業務移轉至雲端平台的做法,2016年會有越來越多企業將核心業務放上雲端,而安全將成為雲端最重要的功能模組。


F5台灣暨香港區技術總監/    
莊龍源

F5台灣暨香港區技術總監莊龍源指出,過往企業自建機房/資料中心的年代,對資安防禦的傳統做法是從網路安全建構尋找一個知名品牌的產品開始,再一步步導入相關解決方案,如:防火牆、次世代防火牆、入侵偵測…等,之後再延伸到內容安全、應用程式安全、法規遵循三個面向。

但是雲端安全卻是截然不同的思維,當然,企業如果是百分之百自建私有雲,自然可以沿用傳統實體安全的防禦觀念,只是綜觀現今企業IT架構,大多數採用的是公有雲服務或混合雲架構,針對公有雲的資安防護,理當著重在應用程式本身與雲平台可用性兩點。

AP存取由內而外  增加資安風險
其中,應用程式的安全尤為重要。莊龍源表示,行動裝置、無線/行動網路的普及,逐漸改變企業應用程式的使用習慣,AP的資料存取行為正在由內部走向外部。

過往,員工只能在辦公室或企業私有網路環境內使用企業應用程式,這種封閉式環境的資安管理相對容易,但在追求工作效率的前提下,越來越多員工希望在外部網路也能存取企業應用程式,企業順應這股潮流而開放AP可以外部存取,資安風險也隨之而增加。

即便採用SSL加密也無法發揮多大效果,因為SSL只能保證網路封包不會被看到,無法分辨封包內容是否有害,於是駭客改變攻擊思維,不花費心思截取或破解SSL封包,而是利用SSL封包直接對應用程式發出存取要求,再攻擊後面的資料或商業環境,等於將應用程式變成資料閘道器(Data Gateway)。

DDoS攻擊歷久彌新  駭客用來輔助AP攻擊
另外,在各國家地區都達到數年來攻擊新高的、至今仍手法不斷更新的資安攻擊手法DDoS,對企業來說仍是極大威脅。

莊龍源認為,以前的DDoS攻擊多半帶有政治化色彩,因為不滿某國家的做法或言論,駭客就癱瘓其服務,但現在DDoS攻擊則變成幫助駭客達到目的的一種手段,駭客利用DDoS攻擊擋住前門,再由後門AP進入企業IT環境,竊取機密資料。

DDoS攻擊除了被駭客拿來當做AP攻擊的輔助工具外,也同時影響了雲服務的可用性。雲端服務廠商的資安處理能力有限,不會去分辨正常或惡意流量,一旦遇到DDoS攻擊時,一律視為企業正常流量,導致正常使用者無法存取服務,或許有人會說,可以透過與雲端廠商的SLA協議來避免此類風險,但很多企業不知道如何調整SLA,再加上現今駭客也都利用雲端資源去發動DDoS攻擊,增加事後調查追蹤的難度,導致企業更不容易掌握雲端服務可用性。

雲端資安新思維:單一身份認證、管理政策一致
面對截然不同的雲端架構與資安風險,企業該如何做好安全防禦?莊龍源指出,針對應用程式安全部份,除了透過SSL、應用程式防火牆、SSL加速等解決方案,在應用程式前面抵擋資安威脅外,F5更提供統一的雲端聯合登入平台,確保每一個存取者的身份,也有利於企業事後的追蹤稽核。

雲端聯合登入平台整合多種雲端應用程式,再透過F5的SAML協議,讓不同應用程式可以自動交換登錄帳號,換句話說,員工不必每一個應用程式都要重新建立一個使用者帳號,只要使用單一身份,就能存取各種雲端服務。

至於雲端服務可用性的掌握,F5則提供跨雲端平台的應用程式防火牆機制,讓企業從實體到雲端的管理政策一致化,確保安全防禦等級,降低維運管理的難度,讓應用程式即使在不同的環境和網路下,也能享受一致的安全防禦。

雲端已是不可逆的IT趨勢,企業在跟隨這股雲端浪潮的過程中,必須充分掌握應用程式安全與服務可用性,才能真正體會IT上雲端的效益。