陸空聯防　虛擬隔離

2017 / 12 / 28

編輯部

陸空聯合有效防禦Web攻擊
不只資安防護要有效，在商業利益的驅使下，連駭客攻擊也講究效率。這是第一句開場白，IMPERVA台灣資深技術顧問范鴻志指出，駭客有興趣的是資料，但現在企業對Data Server通常有較嚴密的管控，從外部不易侵入。因此對內連結資料庫，對外提供會員服務、線上交易的Web Server就成為駭客攻擊的主要目標。范鴻志表示有高達96%的網頁存在弱點，一旦遭到DDoS攻擊或入侵，不論是資料外洩還是網站服務中斷，都將使企業受到龐大的損失。因此IMPERVA提出整合性的陸空聯合防禦系統，協助企業抵擋日益精進的Web攻擊。

所謂的陸空防禦，「陸」指的就是放置在本地端Web Server前的WAF應用程式防火牆，以保護網站應用程式與資料庫安全，「透過virtual patching功能，能整合漏洞掃描工具，將弱掃結果匯入IMPERVA WAF內，保護網站不受弱點攻擊」，范鴻志補充。另外IMPERVA WAF還能搭配雲端的ThreatRadar威脅情資服務，利用社群防護的概念收集全球的攻擊資訊以提高WAF的準確性。

即使企業有網路防火牆、應用程式防火牆來做到layer3到layer7的防護，讓內部Web Server不致癱瘓，還是會因DDoS的流量佔據對外頻寬，影響到正常的網路連線。因此在網路端「空」的方面，IMPERVA有Incapsula的流量清洗服務，將所有網站連線先導到Incapsula的全球清洗機房進行過濾再送至Web Server上，以確保網站對外連線的順暢，透過陸空防禦的結合確保企業網站的可用性與安全性。

虛擬隔離防止營業秘密外洩
台灣的高科技製造業，常發生員工跳槽將研發機密攜至新東家，造成公司巨大損失的案例。對機密檔案文件的保護，優碩資訊科技提出VDP虛擬隔離防護的解決方案。優碩資訊科技技術行銷部產品經理陳品瀚表示，傳統檔案加密的方式有效能不彰、檔案毀損與支援檔案格式不足的缺點，因此較不適用於研發單位。而虛擬隔離的方式則透過在裝置建立隔離區的方式來保護機密文件，在防止外洩的同時，也能防止惡意程式如勒索軟體破壞重要檔案。

虛擬隔離分為端點與系統兩部分。端點運作方式在本機端安裝agent後，會在裝置上產生一個加密保護區(R槽)，加密保護區的資料具有只能進不能出的特性，所有未經授權的使用者與應用程式都無法存取保護區中的檔案，因為惡意程式看不到隔離區，所以可避免R槽內的重要資料遭勒索軟體加密。還可禁止檔案儲存或複製內容到外接儲存裝置、雲端儲存空等非保護區中，甚至是權限上的管控，像是鎖抓圖、列印，防止有心的授權使用者竊取公司機密文件。對File Server或Web Application Server這些集中伺服器則是以系統隔離的方式，在網路層上透過Port、IP的設定，在伺服器與使用者端間建立一個VDP的安全通道，限制使用者僅能將系統保護區中的資料儲存到端點保護區中，在不用安裝AP與更改伺服器設定的情況下，有效防止伺服器內的文件外流。

雲端安全服務有效管理公雲、私雲
雖然雲端服務的安全性依然是企業採用的最大考量，但不可否認的，就像無線網路與行動裝置的使用一樣，已是不可擋的趨勢，剩下的，就是企業IT如何提高雲端服務的安全防護。日本雲端安全服務廠商HDE台灣雲端資安產品經理陳廷瑀提到，日本在2011年發生311大地震後，開始了一波企業郵件上雲的風潮。台灣預估在2016年有16%企業會使用雲端服務，雖然不到兩成，但相較2015的9%相比，也有近翻倍的成長。但相對的，企業也面臨更多的資安威脅，她表示：「企業增加1%的雲端服務，資料外洩的機率就上升3%」。

為了協助企業能更安全的使用雲端服務，來自於日本專業的雲端服務廠商HDE針對企業最常導入的Office 365、G Suite推出HDE One雲端安全服務。HDE One主要包括了存取控制、BYOD防護、DLP與郵件備份四大部分。以存取控制來說，可設定為公司的IP或經授權裝置才能進行資料存取，讓原本開放的雲端環境也能受到限制，以減少資料外洩事件的發生。

在實務上，更多企業IT面臨的是公雲、私雲的混合環境，因此不但要能提升雲端服務的安全性，最好能更進一步的透過雲端安全服務來協助內部私雲的安全管理。緯謙科技結合微軟雲端管理平台Microsoft Operation Management Suites(OMS)推出的「跨平台優化管理資安服務」，能透過跨平台的中央監控功能，提供企業IT同時管理雲端與本地資料中心的系統效能與安全。

緯謙科技林侑緒表示，此跨平台優化管理資安服務藉由單一管理介面，對使用者行為、系統效能進行監控，掌握本地與雲端的IT狀況，在事件發生前提出預警，並提供客製化報表符合管理需求。以File Server為例，企業如果擔心機密外洩，IT人員可透過此服務來查看每天檔案的異動狀況，像誰常看什麼文件或資料夾？帳號登入的次數？或硬碟空間與存取效能狀況？如果發現有登入異常或效能不足時，就能及早因應處理，將企業公、私雲端的混合IT整合於單一管理架構下，有效節省IT人力。

已上經由他們的分享，可以讓我們更進一步釐清與獲得新思維於2018年的資安規劃與模擬方案上。

防禦雲端