雲端平台的威脅潛伏與因應方式

雲端平台的威脅潛伏與因應方式

ADVERTISEMENT

CSA(Cloud security Alliance)雲端安全聯盟在2019年的八月發表了11項的雲端平台威脅,而針對這些威脅我們又該如何去應對呢?首先我們先來看一下有哪11種的雲端威脅,並一一說明如何面對這些威脅。

第一名、資料外洩/竊取(Data Breaches)

雲端平台的威脅潛伏與因應方式

這不只是在雲端運算平台會發生,這會發生在任何電子裝置上。只要裡有有價值的資料。但這在雲端平台上發生的機會可能更高,這是因為雲端平台的本質是基礎設施共享及多種的裝置透過幾乎是永不斷線與高頻寬的網路只要稍微不注意哪後果大都會比較嚴重。

面對這種狀況我們該如何防範呢?

簡單來說就是要監控資料的「存取」以及「移動/複製」。被「誰」?哪個」程式「存取/被移動/複製到哪個地方去。並建立這些規則存取/移動/複製規則加上稽核系統。當然最基本的資料加密也是需要做的。但並不是所有資料都需要如此,故,你的資料分級政策也需要制定。

這些方式在GCP的SCC( security command center)提供了這些方案讓你的資料能夠安全無虞。

第二名、不正確的設定檔案及不適合的變更控制(Misconfiguration and inadequate change control)

雲端平台的威脅潛伏與因應方式
這個部分與每一間公司的雲端安全要求有關。例如firewall rules什麼port該開什麼該關或是windows web server 應該只有IIS會開啟等等。這些在日常的維運中由於工程師的不注意的誤設定或是整個組織沒有去對應公司的最高資安指導而去採取一些不符合政策的變更控制,屬於人為性錯誤。

這一部分GCP的SCC也能幫助你做到這類的防止人為性錯誤發生

第三名、缺乏整體於雲端平台的資安架構與策略(Lack of cloud security architecture and strategy)

雲端平台的威脅潛伏與因應方式

這類就比較屬於戰略戰術的資安顧問服務且要非常了解雲端平台的整個細節內容。這些可能必須要諮詢相關的資安專家,透過這類的顧問服務相信能得到良好的雲端資安架構建議

第四名、驗證密碼控制機制的不足(Insufficient identity, credential, acccess and key management)

例如沒有做好人員的SoD(separation of duties),登入相關的控制台沒有實行多因子驗證,密碼沒有固定強制週期性更新等等。有些是政策面有些是技術面。在GCP上identity/credential/access and keny management這些服務都能提供你強大的驗證控制機制。

第五名、帳號被劫持(Account hijacking)

雲端平台的威脅潛伏與因應方式

這一個不只在雲端平台會發生,跟資料外洩/竊取一樣是到處都會發生的事件。這種狀況的發生大都是

  1. 透過個各種管道的釣魚方式,例如email/ line等等。
  2. 登入時沒有加密而被中間擷取訊息,例如應該用https加密方式登入而非http

通常需要使用者有資安意識外加在該使用者的裝置安裝MDM的解決方案防止這種狀況發生。

第六名、內賊(Insider threat)

雲端平台的威脅潛伏與因應方式

內賊的種類有很多,商業間諜/心懷不滿的員工/合作的廠商等等。基本上還是需要做好前面說到的SOD與稽核機制,GCP的SCC 稽核機制能夠幫助到你這一點。

第七名、不安全的介面或API(Insecure interfaces and APIs)

雲端平台的威脅潛伏與因應方式

雲端的崛起導致一堆API的服務介面。也產生了一堆API金鑰來做驗證。看起來我們只要保管好這些金鑰應該就ok沒問題了。這個應該是個理想,真實世界中的運作恐非如此。由於雲端的不斷變化,API與API之間的溝通的關係越來越複雜。金鑰也就到處了流轉給一堆相關人等。金鑰的控制變得很困難。

所以金鑰的控制與你公司的政策還有平台服務架構習習相關。

第八名、脆弱的控制台(Weak control plane)

雲端平台的威脅潛伏與因應方式

指的是進入雲端控制台沒有做好SoD/密碼強度不夠/沒有雙因子驗證等等,這一部分,GCP提供強大資安管控的控制台。

第九名、不安全的程式服務(Metastructure and applistructure failures)

雲端平台的威脅潛伏與因應方式

這是指你的程式中可能存在著資安漏洞。GCP提供了免費且持續性的安全掃瞄服務,幫助你的程式能夠安全無虞的在雲端平台上運行。

第十名、有限的雲端服務可見性(Limited cloud usage visibility)

雲端平台的威脅潛伏與因應方式

這是指任何在雲端平台上的服務都需要能被看見。也就是你的IT服務資產清單。在雲端平台上能夠都被看見。防止員工使用未經許可的服務。GCP的SCC的資產管理功能提供了雲端服務的透明性。

第十一名、濫用與惡意使用雲端服務(Abuse and nefarious use of cloud services)

雲端平台的威脅潛伏與因應方式

雲端平台的方便性也造成了資源濫用,IT人員經常會接受各方要求而開啟一堆雲端服務。等到下個月接到帳單之後才知道開啟了哪麼多不必要的服務。另外是帳號被盜取後hacker在你的平台上做DDoS攻擊或者是開啟一堆機器來挖礦。

這些事件都是跟忽然升高的資源使用有關。如何做好此類資源的監控。也是非常重要的,避免你下個月的帳單暴增。GCP在這類的事件也做了很好監控與回應機制。

以上就是CSA的雲端平台的11大威脅及相對應的因應方式介紹。 

CloudAce
作者

Cloud Ace 成立於日本,多年來提供 Google Cloud Platform(GCP) 的導入、設計、維護以及運用的全方位服務,協助企業成長。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則