2011年11月29日 星期二

雲端應用服務的全方位資料安全保護


隨著雲端運算應用服務日益普及,舉凡政府機關的防救災、便民、財稅及警政服務,或是大型及中小企業的各式資料庫管理,加上數位家庭、智慧醫療、智慧交通、智慧校園及行動商務等應用,對雲端資料中心的依賴度愈來愈高。中飛科技技術支援部協理張偉翰指出,雲端資料中心雖具備超大規模、無限延展及彈性使用的特性,讓雲端應用服務的發展充滿未來性,但雲端運算應用情境的安全問題,更需要我們關注。

結構化資料必須特別保護

張偉翰表示,資料可以分為結構化及非結構化兩種,雲端資料中心存放的資料,多半屬於結構化資料,由於結構化資料往往是許多資訊如非結構化資料的源頭,因此需要特別保護。至於非結構化資料如業務文件、程式原始碼、財務資料等,多半存放在企業本身的檔案伺服器中,由於存放位置零散,且頂多是用目錄控管,也因此雲端資料中心的管理思維,其實與檔案伺服器的管理思維,有很大的不同。

一般而言,雲端資料中心的資安漏洞,包括管理者本身、資料存取的過程、開放平台的其他使用者本身。為了確保雲端資料中心的資料安全,張偉翰認為,完整的雲端資料中心資安解決方案,包括網頁應用程式、檔案及資料庫,都必須做好安全防禦。

網頁應用程式要避免外部攻擊

網頁應用程式為例,由於可以直接存取資料庫,也因此成為外來攻擊的主要管道。張偉翰建議,雲端資料中心可以透過網頁動態建模技術保護可能受到攻擊的應用程式,同時要建立完整的負面列表,包括伺服器平台入侵防禦、網頁及網站服務攻擊、零時差蠕蟲攻擊等,並設下多層次防禦,正確的阻斷攻擊,因為很多看似攻擊的行為,有時候其實是合法的,所以雲端資料中心一定要制定一系列的規則,才能避免誤判。

此外,網頁應用程式在開發時,最好能與弱點偵測軟體配合,管理者可依據排程修正及測試系統弱點,並可減少緊急修改修正應用程式的週期,還可監視嘗試突破已知弱點的攻擊,確保應用程式的安全及運作效率。

檔案保護要注意使用者權限管理

至於檔案保護,張偉翰認為,最主要的管理關鍵,在於資料源頭的控管,確保業務上需要存取的人,才能碰觸資料。要考慮的因素很多,包括誰擁有這個檔案?誰在使用或使用過這個檔案?誰有使用權限?什麼時候需要阻擋使用者的存取?使用權限是否開太大?檔案需要備份還是刪除等。

張偉翰指出,檔案保護技術必須具備完整的檔案稽核機制,才能有清晰廣泛的可視性,掌握所有的資料夾及檔案,但又不會影響檔案系統效能,也不需要更改應用程式、伺服器及使用者習慣。

檔案保護機制還應該能夠自動化的記錄各種使用行為,並提供詳細的分析統計資訊,並能即時套用安全政策,同時能夠找出敏感資料位置,進行分類,配合安全政策,才能對應到與營運政策相關的檔案安全。

資料庫的安全稽核要獨立

至於資料庫的稽核與安全,包含評估、設定政策/控制、監控與執行,以及統計及報表分析,關鍵在於要讓稽核獨立,做好未授權的管理者使用行為控管。如自動學習資料庫使用者及應用程式存取資料庫的行為模式,包括使用者、來源IP、host、OS User、來源應用程式等資訊,建立資料庫存取白名單,作為自動評估、稽核及保護的基準。

張偉翰強調,全球被發現、報告的新安全威脅不斷增加,管理者一定要時時注意真實世界的網路流量,並執行滲透測試,找尋未被發現、公布的弱點,並持續追蹤匯入攻擊來源,同時不斷檢測用戶端,才能持續提供最新的保護,也才能讓雲端資料中心的資料安全,做到全方位的保護。

引用自《科技商情

沒有留言:

張貼留言