近年来,为推动IT现代化与数字转型,全球企业上云趋势日益显著,台湾也在慢慢跟上脚步,然而,在这急剧转变的时期,企业将面临混合IT与转型的挑战,云计算安全防护也成关注重点。
我们该如何思考云计算安全管理策略?从最近公布的多份云计算安全报告可看出规划重点,而在近日举行的台湾云计算大会,勤业众信资深执行副总经理林彦良综合相关分析报告,提醒企业需了解当今云计算平台
可能威胁,并应从云计算安全治理角度出发,才不会盲目上云,且呼吁台湾企业更要重视云计算、地端集成风险管理策略。
有了多家企业发布的云计算安全报告,能帮助大家了解云计算安全问题与趋势。例如,5月20日,国际资讯系统安全核准联盟(ISC2)发布“2022云计算安全报告”;6月7日,云计算安全联盟(CSA)也发布新版“Top Threats to Cloud Computing”的报告,更早之前,还有去年下半Google针对GCP入侵案例分析的Threat Horizons报告,以及Fugue与Fugue联合发布的云计算安全现况报告。
有那些云计算安全议题,是2022年企业最需关注的重点?林彦良指出,混合云与多云绝对是企业会采用的方向,而且现在的云计算应用面向,越来越五花八门,有不同的使用方式,他们就曾遇过有公司用云计算来做资料保护,而且是用Salesforce来保护其研发流程与技术。
不过,云计算的特性与平台的管理,所衍生出各式议题,企业必须进行正视。否则企业转型不好,等于门户大开。
从云计算服务常见的安全威胁来看,在近一年的云计算安全报告中,有几个重点值得关注。首要就是云计算配置错误的问题,几乎每一份报告都会提到这类威胁,不论是数据库资料文件的访问,或是系统访问,几乎都是因为配置错误引起。
还有一些问题集中在权限与组态,像是账号、凭证、密钥与特权账户管理不足,使用不安全的接口与API。
从大多数云计算安全问题来看,我们可以发现:犯罪组织APT攻击与的威胁,其实在云计算环境并非主流,因为黑客直接从企业基本配置问题切入,就已经可以找到许多破口。
对于还没上云的企业而言,首先,所抱持的思维必须跟着转变,不能单纯从地端去思考云计算上的配置,因为这么做其实难以找到公用的管理点,而且,若将地端环境这套管理逻辑,原封不动直接搬到云计算,应该设置的IAM却都没有设置,到了云计算,就等于变成“裸奔”,形同将内部应用全部对外开放。
而且,在他们以往核实的经验中,曾遇过采用混合云的企业,虽提供云计算与地端的不同清单,但流程都是一样,这样其实并没有转型。
为何上述云计算安全配置会如此困难?林彦良强调,对于云计算环境的理解是第一要务,其次,是不要用地端逻辑去思考云计算架构,特别是多云环境。
此外,台湾企业上云普遍会从地端逐步迁移到云计算,在混合云环境其中,云计算与地端集成的风险管理策略,需要特别重视。更进一步来看,如何简化管理的复杂性,将会是企业在多云与混合环境上的关键。
再继续探究下去,我们可以发现:现在企业可能面临的最大问题,就是云计算安全人才的不足,人员缺乏管理云计算复杂环境的安全技能,事实上,这并非是否了解安全,而是很多企业根本搞不清楚云计算环境。
更何况是多云环境,虽然管理逻辑架构一样,但原本程序名称、功能不同该如何应对?
林彦良表示,他们在多年前就开始鼓励台湾企业,要设立架构师的职位,因为以他们IR事件应变的经验来看,第一件事通常不是检查Log记录,而是要先找到懂环境全貌的人。企业要上云也是如此,同样需要对云计算环境完整了解。
他并提醒,云计算平台上所有操作记录与监控必须打开,不要因为需付费而关闭,一旦缺乏安全可见性与监控能力,将无从管理,并要考量云计算、地端结合过程的主从关系。
另一个企业普遍会遇到的挑战,就是自身没有足够能力运维云计算环境时,会选择委外。然而,企业要注意,若是全部交给系统厂商负责,这代表把整个运行环境,交给一个有合约但约束力不高的厂商,如果企业又没有对厂商做管理与要求,等于环境完全被对方抓在手里,或是可能发生移交到正式环境,单纯的配置失误变成无法修补的情形。
因此,企业不仅是要重视云计算委外监督与管理责任分工,特别是在相关权限的检查,应该由自己负责去做,并了解整个环境的情况,不该将这样的工作交给厂商去做。
同时,还要注意的是,从地端迁移到云计算,访问控制的思维也要转变。像是在用户与资料安全方面,上云之后通常会需要采用新的身份识别方式,而资料保护、隐私保护、法规均能作为资料访问权限设置的依据,在核心应用安全性面,企业上云前应确定已实行最低限度的控制措施,如最小权限管理、安全登录区域、工作负载防护、DevSecOps、零信任与攻击面管理等。
无论如何,数年前全球就在谈企业上云这件事,从海外的经验与例子来看,现在已倾向地端不再扩展,新应用都往云计算发展,并会有很多原生云服务去取代地端的应用,而PaaS的应用规模也将大于IaaS。林彦良也特别指出,在勤业最新的一份调查中,在100位首席财务官中,有94人希望将ERP搬到云计算,反应出普遍渴望上云的态势。
在台湾,我们现在也追赶着上云、用云的潮流,因此林彦良也提供一些建议,指出企业可从服务的逻辑去思考,从业务的角度去设想,自身优先要将那些应用服务搬上云计算,接下来则关注法规、安全、资料保护与供应链要求等。最关键的还是,要让组织可以用同一套管理架构,做好云地集成管理,同时,也要继续思考企业需要什么样新的人才,旧的人才该如何调整。