[專訪] 雲端資安: 應用程式安全與服務可用性

 雲端平台與實體機房是兩種截然不同的IT架構，資安防禦措施與風險也不同，F5建議，面對雲端全新資安挑戰，企業在防禦措施上也要有所改變，著重在應用程式本身與雲平台可用性兩點，才能安心享受雲端所帶來的效益。

企業對雲端的接受度越來越高，許多研究調查機構都預測，2016年企業IT最主要的趨勢就是雲端，有別於傳統將非核心業務移轉至雲端平台的做法，2016年會有越來越多企業將核心業務放上雲端，而安全將成為雲端最重要的功能模組。

F5台灣暨香港區技術總監/　　　　
莊龍源

但是雲端安全卻是截然不同的思維，當然，企業如果是百分之百自建私有雲，自然可以沿用傳統實體安全的防禦觀念，只是綜觀現今企業IT架構，大多數採用的是公有雲服務或混合雲架構，針對公有雲的資安防護，理當著重在應用程式本身與雲平台可用性兩點。

AP存取由內而外  增加資安風險
其中，應用程式的安全尤為重要。莊龍源表示，行動裝置、無線/行動網路的普及，逐漸改變企業應用程式的使用習慣，AP的資料存取行為正在由內部走向外部。

過往，員工只能在辦公室或企業私有網路環境內使用企業應用程式，這種封閉式環境的資安管理相對容易，但在追求工作效率的前提下，越來越多員工希望在外部網路也能存取企業應用程式，企業順應這股潮流而開放AP可以外部存取，資安風險也隨之而增加。

即便採用SSL加密也無法發揮多大效果，因為SSL只能保證網路封包不會被看到，無法分辨封包內容是否有害，於是駭客改變攻擊思維，不花費心思截取或破解SSL封包，而是利用SSL封包直接對應用程式發出存取要求，再攻擊後面的資料或商業環境，等於將應用程式變成資料閘道器(Data Gateway)。

DDoS攻擊歷久彌新  駭客用來輔助AP攻擊
另外，在各國家地區都達到數年來攻擊新高的、至今仍手法不斷更新的資安攻擊手法DDoS，對企業來說仍是極大威脅。

莊龍源認為，以前的DDoS攻擊多半帶有政治化色彩，因為不滿某國家的做法或言論，駭客就癱瘓其服務，但現在DDoS攻擊則變成幫助駭客達到目的的一種手段，駭客利用DDoS攻擊擋住前門，再由後門AP進入企業IT環境，竊取機密資料。

DDoS攻擊除了被駭客拿來當做AP攻擊的輔助工具外，也同時影響了雲服務的可用性。雲端服務廠商的資安處理能力有限，不會去分辨正常或惡意流量，一旦遇到DDoS攻擊時，一律視為企業正常流量，導致正常使用者無法存取服務，或許有人會說，可以透過與雲端廠商的SLA協議來避免此類風險，但很多企業不知道如何調整SLA，再加上現今駭客也都利用雲端資源去發動DDoS攻擊，增加事後調查追蹤的難度，導致企業更不容易掌握雲端服務可用性。

雲端資安新思維：單一身份認證、管理政策一致
面對截然不同的雲端架構與資安風險，企業該如何做好安全防禦？莊龍源指出，針對應用程式安全部份，除了透過SSL、應用程式防火牆、SSL加速等解決方案，在應用程式前面抵擋資安威脅外，F5更提供統一的雲端聯合登入平台，確保每一個存取者的身份，也有利於企業事後的追蹤稽核。

雲端聯合登入平台整合多種雲端應用程式，再透過F5的SAML協議，讓不同應用程式可以自動交換登錄帳號，換句話說，員工不必每一個應用程式都要重新建立一個使用者帳號，只要使用單一身份，就能存取各種雲端服務。

至於雲端服務可用性的掌握，F5則提供跨雲端平台的應用程式防火牆機制，讓企業從實體到雲端的管理政策一致化，確保安全防禦等級，降低維運管理的難度，讓應用程式即使在不同的環境和網路下，也能享受一致的安全防禦。

雲端已是不可逆的IT趨勢，企業在跟隨這股雲端浪潮的過程中，必須充分掌握應用程式安全與服務可用性，才能真正體會IT上雲端的效益。