在云端世界确保安全.pdf

在雲端世界確保安全 全球組織以驚人的速度紛紛採用雲端運算，這使得現今企業及政府機關的運算基礎架 構隨之脫胎換骨，非昔日所可比擬。根據 IT 市場研究公司 IDC 的預測，美國的 IT 雲端服務營業額在2016 年前將成長至432 億美元；此市場在2011 年時僅有 185 億 美元。雖然雲端運算毋庸置疑能為組織節省可觀的成本，並提升營運效率，但同時亦 帶來新的風險與不確定性。現在幾乎所有組織都有部署公有雲、私有雲或混合雲的基 礎架構。這些組織在排除雲端技術固有安全風險的同時，也需要遵循產業及政府所制 定的法規。 所幸近年於資訊安全與法規遵循管理方面的技術有長足的進步，因此能夠為雲端運算 使用者降低風險、改善對威脅的回應速度，並大幅減輕法規遵循管理所耗費的心力。 NetIQ 正是其中的開路先鋒。這份白皮書提供三個簡單的步驟，說明如何在移轉至雲 端的同時，還能保有可見度與掌控力，並且解釋NetIQ 如何能夠在各方面提供協助。 目錄 雲端運算的效益3 雲端的安全難題3 降低安全風險3 偵測安全漏洞3 維持法規遵循4 三個簡單步驟獲得可見度與掌控力4 第 1 步：降低風險5 第2 步：改善威脅回應速度5 第3 步：減輕法規遵循心力6 NetIQ 能提供哪些協助7 ® NetIQ Change Guardian™ 7 NetIQ Secure Configuration Manager™ 7 NetIQ Privileged User Manager 8 NetIQ Directory and Resource Administrator™ 8 NetIQ Sentinel™8 總結9 關於NetIQ 10 白皮書：在雲端世界確保安全 雲端運算的效益 雲端運算在 IT 產業掀起革命浪潮，顛覆了 IT 為使用者提供應用程式與服務的方式 。其採用率的成長速 度較傳統軟體快五至十一倍 1 ，且IT 預算中配予雲端技術的比重也日漸增加。 雲端運算能夠帶給組織許多實質效益，而其中最引人注目的自然就是降低營運成本、提升規模彈性以及 改善企業靈活度。 雲端的安全難題 雲端運算雖然帶來許多實質效益，但是要將作業移轉至公有雲、私有雲或混合雲的基礎架構亦有其難處， 特別是在安全與法規遵循方面 。不變的是 IT 仍需要對安全與法規遵循負起責任，並且在妥善管理企業 的同時，繼續於正確的時間、在正確的位置、為正確的使用者提供商業服務。 降低安全風險 當組織將應用程式與服務移轉至雲端基礎架構時，常誤信此舉本身即可降低網路安全風險；他們認為雲 端提供者都已做好先進的網路安全防護措施 。這是非常危險的想法，因為在保護機密資料的機密性、完 整性與可用性方面，以及在證明產業與政府法規的遵循度方面，需求不但永遠不會降低，最終也仍舊是 您需自行承擔的責任 。完全依賴雲端提供者的防護措施可能造成災難性的後果，這一點我們也在2011 年 Expedia 的雲端運算資料外洩以及2012 年Apple 的iCloud 資料外洩事件中得到印證。 雖然雲端提供者向來都是部署同級最佳的防火牆與入侵防禦系統 (IPS) 來防範已知的網路威脅，但是這 些裝置並無法排除如系統組態錯誤以及系統管理權限設定不當(和管理不良) 所造成的風險 。這些安全 風險對雲端代管系統造成的威脅並不下於對實體網路所造成的威脅 。看不見的系統，絕不能就不關心。 偵測安全漏洞 IPS 裝置、新一代防火牆(NGFW) ，以及其他比對病毒碼的防禦措施，對於偵測已知威脅都非常有效。 有些方式甚至還能偵測到針對已知作業系統與應用程式弱點發動攻擊的未知威脅 。不過，現今最複雜、 最危險的網路威脅均是透過前所未見的惡意軟體，這些惡意軟體是專為攻擊作業系統與應用程式中的未 知、零時差弱點所設計，我們稱此為「先進持續性威脅」，簡稱APT 。 監看雲端代管系統是否有安全漏洞，比監看實體電腦網路更加困難 。大多數雲端提供者不會讓客戶存取 其網路安全裝置的管理主控台或記錄，因為提供者要利用這些項目，來監控會同時對多用戶虛擬化環境 中的許多客戶造成影響的入侵事件。也正因為如此缺乏可見度，所以客戶難以 (甚至完全不可能) 主動 偵測並因應其機密資料所面臨的威脅。 有些組職如雲