https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html
https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html

觀點

【2013資安趨勢】雲端由基礎走向資安 BYOD有需求但不多

2013 / 01 / 07
編輯部
【2013資安趨勢】雲端由基礎走向資安  BYOD有需求但不多

除了個資法、資安攻擊外,2013年還有一個比較引人關注的議題,就是新興IT應用所帶來的資安商機,主要以雲端/虛擬化及BYOD(Bring Your Own Device)。根據資安廠商表示,企業對雲端的需求已經由基礎建置走向資訊安全,至於BYOD在2012年就聽到很多詢問聲浪,預計2013年將會進行POC驗證及採購。

雲端安全明年發酵 VM間隔離管控是重點

捷而思董事長吳建東認為,雲端應用還處在如何節省成本的階段,至於資訊安全通常是一邊建置一邊考量。對此,台灣IBM技術長暨軟體事業處技術副總林育震也持同樣看法,今年企業還在開發app,或思考規劃雲端商業模式,對於雲端安全的需求會在明年,包括VM間的流量控管、VM的備分與復原或監控都將是主要需求。

逸盈科技副總經理王美芬認為,受到大環境不景氣影響,在今年中有部分企業的專案評估到一半,臨時被中止暫緩。然而政府市場,在雲端政策──「10朵雲」的投入下,今年已經陸續建置雲端機房等基礎建設,預料在明年,待相關應用程式陸續完成後,也將帶動雲端安全的需求,電信市場也是。而金融業除了個資保護專案,也開始進行虛擬化資料中心的規劃建置。許多核心系統都開始放在虛擬環境中執行。

精誠資訊產品企劃暨技術服務處處長賴來忠也表示,雲端安全現今還未成熟需要再觀望,如果政府10朵雲能成功推動,可望起示範作用,帶領民間企業加強雲端的資安防護,至於雲端資安的方向,目前傾向在VM裡加入虛擬防火牆或IPS,或是VM如何與外界實體區隔。王美芬則認為,能夠內嵌在虛擬機器內,達到VM與VM間流量控管的入侵防禦系統才能滿足企業需求。

Palo Alto台灣區總經理張元正指出,從2012下半年開始到2013年,雲端安全防護解決方案將會慢慢成長,包括虛擬防火牆、虛擬防毒軟體…等,尤其虛擬防火牆一定要具備辨識AP與使用者的能力,以便管理者能夠據此設定明確的管理政策,舉例來說,A員工只能存取ERP系統,不能存取財務和人事系統,避免不當存取的風險。

數位資安總經理蘇隄認為,雲端安全應該分成公雲、私雲兩個角度來看。私雲以往處於建置階段,企業將伺服器虛擬化、建置VM,如今則是陸續把AP放上去,創造更多雲端應用,因此在VM間可能有的病毒攻擊、資料外洩…等風險,都是企業關注焦點。至於公雲廠商提供的是服務,除了上述風險之外,還要關注企業客戶會有的安全與隱私考量,再加上公雲廠商員工擁有特權帳號,如何取得客戶信任將是未來發展重點。

中華電信資訊處資安服務科科長謝東明表示,以往雲端安全多半只做到進入雲端之前的防護,不過現階段開始著重在跨VM間的攻擊防禦,像是inter VM間的隔離與攻擊防護、雲端的資安監控,都是現階段雲端安全的重點。

BYOD需求落在金融製造業 但速度不會太快

除了雲端虛擬化應用外,BYOD也是近年來被企業廣泛討論的一環,尤其我們觀察到許多已經開放BYOD應用的企業,都是因為CEO/高階主管拿著自己的手機向IT人員詢問如何用來存取公司資料,這種由上而下的應用需求,是與其他IT應用比較不一樣的地方。

林育震指出,行動裝置管理的市場不容小覷,越來越多企業規劃企業內部的app store,因此能夠將行動裝置一同納入管理的端點控管平台也將受到青睞。達友科技總經理林朝賢則看好BYOD在金融業的市場,主要需求是在高階主管,將個人設備與公司內容分開存取管理。精誠資訊產品企劃暨技術服務處處長賴來忠認為,製造業者比較會關注行動安全議題,或是B2B2C的產業也有相關規劃,通常需要的是手機防毒或AP管理。

蘇隄認為,台灣企業對於行動安全的議題一直都很有興趣,相關解決方案(即MDM, Mobile Device Management)也一直存在,但是過去2年市場都起不來,原因在於MDM為國外廠商研發,國外使用者的導入思惟是如果員工遺失手機,該怎麼保護資料不外洩?但是台灣企業想的卻是如果開放用手機存取公司系統,萬一員工外洩資料怎麼辦?換言之,在行動安全管理上,台灣企業主期望的是類似DLP解決方案,但是如今MDM只是桌面管理解決方案,如果未來能有手機DLP相關解決方案,應該比較符合企業需求。

對於台灣與國外企業的差異,賴來忠也有相同感觸。台灣企業對BYOD的訴求點在安全,但要安全就很難便利,而國外的訴求點在便利,開放使用者存取AP與E-mail,從使用便利性再去思考如何做到安全。

也因此,台灣雖然有很多企業已經開放行動裝置可以存取公司系統,但不是開放範圍小(即只限少數高階主管),就是統一配發手機給員工,藉此換得部份管理權限,嚴格來說並不算BYOD。賴來忠認為,目前企業多半要求員工使用公司配發的手機(通常只限於高階管理者),未來才有可能開放到BYOD,關鍵在於公司必須教育使用者,要存取公司系統就是要配合公司政策,台灣在這方面的發展比香港晚了1~2年。

對於BYOD發展,趨勢科技台灣及香港區總經理洪偉淦有不同看法。智慧型手持裝置雖然普及,但使用者還未建立行動安全的認知,舉例來說,大家都認同電腦一定要安裝防毒軟體,但有裝防毒軟體的行動裝置卻寥寥無幾,再者,企業對BYOD管理沒有定論,要不要管理員工手機?管理深度要多深?這些都沒有標準答案,所以BYOD是管理哲學,雖然是未來必然趨勢但未必明年就會起來。

但若是行動安全就不同了,如果企業採購行動裝置給員工以便處理公務,多半不會介意再多花一點錢採購安全解決方案,而員工勢必也難以拒絕企業所制定的安全政策,但若是開放員工使用自己的手機,一來會有上述管理問題,二來則是企業不一定會想採購安全方案,所以洪偉淦認為,行動安全市場會成長,但BYOD的應用模式未必會起來。

相關文章:

【2013資安趨勢】2013法規遵循下的資安趨勢 

【2013資安趨勢】即便2012不如預期 個資法商機仍被看好 

【2013資安趨勢】APT攻擊依舊存在 政府是駭客頭號目標 

【2013資安趨勢】法規遵循驅動 LM出現小規模導入需求

【2013資安趨勢】第七層新興威脅 善用WAF作好防禦