https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

2013 資安展會後報導系列2~~雲端/行動新興應用 創造新的資安需求

2013 / 05 / 09
編輯部
2013 資安展會後報導系列2~~雲端/行動新興應用  創造新的資安需求

行動裝置、雲端/虛擬化都不是新的IT技術,但在企業追求成本與效率的前提下,成為越來越普及的IT應用模式,相關的安全與管理需求也應運而生。

 

行動裝置改寫端點定義 BYOD控管刻不容緩

隨著智慧型手機或平板電腦盛行,帶動BYOD議題興起,促使企業重新改寫對端點的定義,從PC擴大到行動裝置,安全也就成為討論焦點,Novell特約技術顧問李昆龍指出,行動裝置管理已是現在進行式,企業IT需以更積極的態度來面對BYOD趨勢。

李昆龍接著提出統計每分鐘有113隻手機遺失,而每週有12,000台平板電腦不見,約有50%掉在研討會或機場等公開場合,但只有4%的手持式裝置有安裝相關的管理軟體。另外為了與同事或客戶分享資料,很多人會透過像Dropbox這類的網路儲存空間來交換檔案,也可能造成公司機密資料擺放在外部公有雲的危險現象。

雖然這些行動裝置極可能造成企業資料外洩的風險,但與筆電不同的是這些裝置大多屬於員工個人所有,也因此普遍不願意讓公司安裝可追縱手機位置與其他監控功能的MDM管理軟體。對此李昆龍建議企業應向員工說明,資料的保護不分個人或公司,以公司來看當然是商業機密,對員工而言就是個人隱私,這些都是需要保護的,而Novell的ZENworks Mobile Management能針對個人或公司的不同需求來管理。

如果是個人手機,可以設定只啟動SD卡加密,或當手機遺失時進行手機定位或遠端清除的基本防護;如果是公司配發的手機,則可進一步執行App安裝控管、檢查手機是否遭jailbreak(越獄)、簡訊側錄等更嚴格的管控。至於在行動裝置資料分享上,Novell提供企業私有儲存雲服務,就像企業專屬Dropbox一樣,提昇與客戶或廠商交換資料的安全性。

國內資安廠商精品科技也有X-FORT電子資料監控系統解決方案,對包括手機在內的多種電腦週邊裝置與員工的操作行為進行控管、稽核、監測與管理,精品科技資深研發經理陳弘儒比喻,X-FORT就類似企業IT的監視錄影機,透過安裝代理程式來控管手機,甚至還能利用外掛模組來掌握特定人員的動態,詳細記錄一早上班後的所有動作並支援螢幕擷取功能。另外還提供機密記錄防護功能,需同時有稽核人員在內的雙重密碼輸入才能觀看員工操作記錄,確保員工隱私不致遭到濫用。

F5則強調手機AP管理(也就是MAM)的重要性,包括AP在傳輸過程中的連線安全性、企業APP的管理、管制瀏覽器的走向與連線位置、在手機內建立加密空間…等。F5台灣區技術經理陳建宏指出,一般MAM解決方案,企業通常會建立1個以上的管理平台,並搭配負載平衡(Load Balance)、Access point(即VPN Gateway)等網路設備,倘若遇到系統不能運作時,不容易釐清是AP或MDM出了問題。

因此,F5提供內建APM模組的AP(支援SSL VPN與IPSec VPN功能),可以同時管理行動裝置與傳統PC來的連線需求,至於MAM軟體則放上雲端,提供設定管理政策、產出報表功能,同時在行動裝置內建立一個加密的虛擬空間workplace,儲存與公司有關的APP、郵件或檔案,由於雲端MAM不會接觸到資料,可以降低企業對資料傳輸至雲端的安全疑慮。

 

雲端網路的安全與未來

就像企業員工身上看到的BYOD現象一樣,企業IT走向雲端虛擬化也是必然的趨勢之一,趨勢科技資深產品經理吳韶卿表示,在2016年預估會有71%的主機會採用虛擬化,尤其是公、私雲相互混合將成為企業雲端應用的主流,但如何處理好雲端的資安問題,就成為企業採用雲端所面臨的重要挑戰。

虛擬主機安全防護

吳韶卿提到虛擬主機彈性且建置快速的優點很適合用來進行開發測試,但企業如果對公雲安全有所疑慮的話,也可選擇使用公雲來處理與機密無關的資料,或用來做為緊急異地備援的一個選項,像趨勢科技就藉由公、私雲相互應用的調配來達到減少支出的效果。他認為公雲是一個「責任分治」的環境,雲端服務供應商需要就其所提供的服務環境,做好資安控管的工作(例如提供虛擬主機租用的話就需要在不同租戶間做好區隔),而用戶就要負責虛擬主機上相關安全防護的建立。

正因為本身早就累積相當多雲端虛擬化的使用經驗,所以趨勢科技很早就針對虛擬化環境推出Deep Security的解決方案,取代以往企業在個別的虛擬主機安裝防毒軟體的做法,Deep Security藉由與虛擬層(Hypervisor)的高度整合,在受保護的虛擬機器上只需安裝一個小代理程式就能提供入侵偵測/防禦、網站應用程式防護、應用程式控管、防火牆、記錄檔檢查等安全防護,同時也能阻絕跨VM的攻擊。

另外Deep Security還可搭配虛擬補丁的功能,讓尚未來得及接受漏洞更新的主機也能得到保護,為IT人員爭取到更多時間來完成更新檔案的測試。對於公雲環境則提供SecureCloud的資料加密服務,由趨勢科技的雲端平台保管金鑰,讓企業無需建置複雜的基礎安全架構,便能對雲端上的機密資料進行加密,確保資料安全的同時也符合法規遵循的要求。

acer eDC則是從資料中心的角度來看企業雲端機房的管理問題,並將過往所累積資料中心的安全維運經驗商品化為SAFE 3.0企業威脅防禦系統。acer eDC產品經理蘇怡琪提到SAFE 3.0能支援虛擬與雲端環境,監控資料中心內的網路流量,搭配超過200條的ruler,並具備良好的欄位搜尋功能,讓管理人員能以直覺的方式進行記錄欄位的搜尋,像DBA執行過什麼動作?或應用程式存取哪些DB欄位等。同時SAFE 3.0也提供日誌儲存(logger)與備援功能,且支援網路儲存裝置,以符合個資法中記錄軌跡的保存需求。

雲端虛擬所帶來的網路變革需求

雖然目前已有不少廠商對於雲端虛擬化環境推出相關的安全解決方案,但這些都還只是開始。思科系統客戶解決方案顧問錢小山就認為,雲端化的應用讓資料中心資源的移動不僅從原本以client-server為主的垂直方向,開始轉變成不同虛擬主機間的水平移動,甚至橫跨不同資料中心間的大規模移轉。這種不管是在質或量上的改變都已不是傳統三層式網路架構足以應付的,因此他提到未來的網路架構設計應像織布般呈現南北、東西交錯的情況,以因應虛擬化的資源移動需求。

而SDN(Software Defined Network)軟體定義網路也是大家討論的網路未來發展方向。採用OpenFlow協定的SDN是一個開放式的平台架構,將資料傳輸與網路控制工作區分開來,讓與裝置連接的硬體交換器僅負責執行單純的封包傳送,而路由的決定與網路控制權限都交由上層的控制器來決定,並由廠商提供API介面以便開發出能執行網管、資安等各種功能的SDN軟體。

這種集中控管並簡化網路架構的方式雖然能提高網路的流量承載能力,但 Juniper亞太區資安顧問Yeu Kuang Bin也提醒要注意SDN基礎架構的安全問題。像是如何保護握有整個網路控制大權的控制器不受攻擊?控制器與交換器間的傳輸通道是否安全?等問題都是SDN在商用環境大規模建置時需考量的問題。至於SDN架構下所具備可程式化控制器功能,也將打破現有安全閘道設備廠商將軟、硬體綁在一起銷售的長久策略模式,對網路、資安廠商的衝擊是否會像虛擬化技術一樣對IT產生深遠的影響,這是值得我們注意的地方。

行動支付論壇:打造一個信賴平台

智慧手機人手一機,行動支付已儼然成為未來付款趨勢,尤其今年初金管會鬆綁行動支付規範後,加快行動支付產業的發展速度,惟金流交易與錢習習相關,安全風險不能忽視,因此在2013亞太資安論壇上,特別規劃討論有關行動付款的安全與發展。

中華電信研究院資通安全研究所洪嘉駿指出,目前行動支付所使用的卡片皆須符合Global Platform國際標準組織針對NFC行動裝置所提出的新安全規定,而使用者可評估自己風險後選擇不同程度的交易進行方式:1在手機螢幕打開時;2.使用者手動開啟某張信用卡;3.手動開啟某信用卡且輸入PIN碼;4.預設某張常用且風險小的卡片交易,但需要使用者知覺下才能交易等。

此外,洪嘉駿也呼籲消費者應更新手機系統、不隨便使用未加密的WiFi訊號、設定螢幕鎖定的保護、將「私密資料」的程式做好防護。安全元件是行動支付當中儲存應用程式與資料的模組,包括USIM卡、Micro SD卡、NFC手機等,手機處理器大廠安謀科技(ARM)介紹另一種可信賴執行環境(TEE),安全等級需求高的應用程式可放在TEE與其他應用程式區隔,還可與安全元件搭配,目前TEE相關API在Global Platform上都可取得。

更多與行動支付安全有關的討論,請見〈台灣行動支付產業鏈漸成形 消費者將迎接手機付款年代 〉一文。

 


 

相關文章:

資安服務納入共同供應契約 12月底前技服釋出SOC監控

2大個資外洩案例 看企業該如何舉證

電子商務:個資保護、防詐騙是未來焦點

2013 資安展會後報導系列1~~個資法與資安攻擊 驅動資料保護需求成長