雲端的發達大幅改善了人們的生活型態,越來越多服務已不再受限於地端實體的限制。為了不落於人後,許多企業紛紛尋求數位轉型,然而,快速的轉型除了帶來商業利益的成長,更伴隨著系統架構不夠完善的風險,新型態的網路犯罪便是瞄準了這樣的弱點進行攻擊,企業被駭客勒索、盜用資源的案例時有所聞,一個不小心便可能賠上公司的未來。雲端資安成為應重視的議題,在這一波推動數位轉型/上雲的趨勢下,企業該要如何自保呢?
什麼是C.I.A. 雲端資安核心三要素?
在討論資訊安全之前,我們先來談談健全雲端資安應該擁有的C.I.A.三大基本原則:
- 機密性 (Confidentiality):確保資訊只能被經過授權的使用者所接觸。
- 完整性 (Integrity):資訊在傳輸或儲存的過程中,能保持正確一致而不被任意的篡改。
- 可用性 (Availability):資訊或服務必須保持隨時可用,不會因為任何因素中斷或停止。
除了上述的三要素之外,以下三個操作特性在維護資安上也尤其重要:
- 可鑑別性 (Authenticity):確保能正確辨識資訊使用者的身分。
- 可歸責性 (Accountability):確保任何操作都可被追溯至單一的實體。
- 不可否認性(Non-repudiation):確保系統上已完成的操作皆能被證明,無法被否認。
一般而言,只要企業遵守了這些原則與特性,便能有效降低系統被入侵或盜用的風險。然而,即使瞭解了各個名詞的定義,也認為非常有道理,當想要實際執行時,卻常常不知道該從何下手對吧?別擔心,在這篇文章中,宏庭科技將告訴您幾個雲端資安小撇步,讓您在享受科技便利的同時,懂得確保自身的資訊安全!
立即啟用MFA,降低帳戶被盜機率
許多應用程式都有提供多重要素驗證(Multi-factor authentication,縮寫為MFA)的服務,以企業最常使用的 Google Workspace 雲端辦公系統為例,Google Workspace 可集中管理公司內部所有成員的帳號,當系統發現帳戶從未經授權的系統或裝置被存取時,便會以「使用者才擁有的東西」進行認證,藉此杜絕意圖不法的犯罪份子,同時也警告使用者有人正試圖登入其帳戶,因而盡早檢視資安漏洞並防止被盜用。而什麼是「使用者才擁有的東西」呢?像是實體安全金鑰、行動裝置核對提示、來電或簡訊等都可以是選項之一,目的就是為了能在保護企業雲端資安的同時,也讓使用者不受限於單一驗證方式,避免發生無法登入的情形,可說是十分貼心。
權責分立,雞蛋不放在同一個籃子裡
許多企業因為人手不足,常常僅由一位資訊人員負責管理整間公司的IT業務,又或是給予每位使用者過高的權限,以方便系統操作。其實這樣的做法存在著很大的風險,試著想想看,萬一今天這位資訊人員離職了,是不是就沒有人熟悉公司的IT系統了?又或者,在每位使用者都具備最高權限的情況下,駭客只要成功盜用了其中一位的帳號,便能夠輕鬆控制整個系統,並移除其他使用者權限,到時又有誰能夠補救呢?
遵守最小權限原則
若要做好資訊安全,企業在賦予使用者權限時應遵守最小權限原則(Principle of least privilege,縮寫為POLP),此原則的概念為僅給予每位使用者符合其職能所需的必要權限,透過將操作/審核的權限分散給不同人員,便能夠避免單一人員權限過高的衍伸風險。
設立群組信箱
企業在組織人員異動或系統程式汰換/更新時,也會發生需要大量調整人員權限的情形,若不慎沒有拔除到不應有權限的人員而使心懷不軌之人有機可乘,那即使是再強大的資安架構也無法抵禦從內部進行的破壞。宏庭非常推薦企業使用 Google Workspace 的群組信箱功能,除了能夠一次調整所有人員的權限外,也能快速同步最新資訊給公司內部人員。
除了上述有關於權限設定的注意事項之外,最重要的是公司在聘請資訊人員時也要確保其專業能力及素養,並提供完善的教育訓練,才能夠即時因應資安事件,順利解決問題。
定期檢查常見的資安漏洞
根據 iThome 2021企業資安大調查的結果,在過去一年內,平均每4家國內大型企業,就有1家遭遇50次以上的資安事件,而各企業平均要花6.2天的時間才能發現自己正遭受資安攻擊。若能及早發現資安漏洞所在,不但能降低被駭客入侵的風險,資安事件發生時也才能夠即時止損。常見的資安漏洞根據各企業使用的軟硬體、作業系統或網路環境差異會有很大的不同,以大方向來說,定期更新韌體及密碼、加密重要資訊、小心使用開源軟體並委託專人檢視企業內部的資安架構,將有助於減少資安漏洞的產生。而針對已將服務搬遷上 Google Cloud (GCP) 的廠商,宏庭科技擁有專業的架構師團隊,能有效協助企業打造強健的雲端架構,另外也有提供7×24的全天候監控及 Google Cloud (GCP) 代管服務,讓企業能更專注於自己的本業,不用時時刻刻擔憂雲端資安問題。
開啟雲端資安監控程式
宏庭科技擁有專業架構師和維運團隊,能為企業建置下列 Google Cloud 雲端資安常見解決方案,助您找到從偵測 (Detection)、防範 (Prevention) 到回應 (Response) 的最佳實踐。
健全雲端資安必備的記錄檔管理工具:Cloud Logging
當資安事件不幸發生時,最害怕的莫過於沒有相關紀錄可以追蹤事件發生的原因了。宏庭建議所有客戶都要啟用 Cloud Logging 的全託管服務,才能完整掌握 Google Cloud (GCP) 中所有使用者的活動存取情形,並能自由的分析、運用和告警 Cloud Logging 所記錄的數據及事件。更重要的是,在服務啟用期間,任何惡意人士都無法停用稽核追蹤紀錄、凡走過必留下痕跡,確保沒有陌生人能夠悄然無息的侵門踏戶!
替您監督 Google Cloud 運行的好夥伴:Cloud Monitoring
針對客戶 Google Cloud (GCP) 的運行狀況,Cloud Monitoring 能自動演算客戶在正常使用下的服務級別目標(Service-level objective,簡稱SLO),或是根據客戶自定義的SLO,在 GCP 運行與所設定的目標產生異常偏差時,便即時通知使用者,以將系統服務中斷或被駭客盜用的損害降到最低,同樣是宏庭建議客戶必啟用的功能之一。
完善的應用程式與網站保護機制:Cloud Armor
無論應用程式或網站是部署於 Google Cloud、混合雲或多雲架構,Cloud Armor 皆可協助防禦分散式阻斷服務或網路攻擊,也提供網頁防火牆(WAF)、地理區域存取控制功能。Cloud Armor 具備「自動調整式防護機制」,能強制執行第7層安全性政策,更能防範 OWASP 機構彙整的十大資安風險。
不需要傳統VPN的遠端存取服務:BeyondCorp
BeyondCorp 強調零信任,無論是哪裡來的流量,都必須經過身份驗證、授權和加密程序才能存取,服務的存取權亦不得由員工連線的網路決定。這些層層關卡能夠阻擋釣魚及 DDoS 等攻擊。
快速偵測、了解威脅全貌:Chronicle
若公司系統無法即時偵測異常存取行為,將帶來極大資安隱患,Chronicle 能收集來自雲端、地端、其他 SaaS 平台的紀錄檔,並整合第三方威脅情報,助IT人員以極快速度偵測威脅、了解威脅活動的全貌,不必擔心是否還有未被揭露的訊息。
防範網頁詐欺的好幫手:reCAPTCHA Enterprise
reCAPTCHA Enterprise 提供雙重驗證、支援行動應用程式,能為企業網站防範常見的網路式攻擊,例如憑證填充(Credential Stuffing)與帳戶盜用。
用報表直擊資安漏洞:Security Command Center (SCC)
資源存取權的設定疏忽而導致的資料外洩時有所聞,Security Command Center 能辨識敏感資料並審核關鍵資源的存取權限,協助您透過報表發現可疑活動和安全漏洞。
一鍵部署,偵測惡意軟體:Cloud IDS
最令人聞風喪膽的莫過於惡意程式攻擊與駭客入侵竊取個資,Cloud IDS 能偵測惡意程式、間諜軟體、外部 command and control 伺服器的連線攻擊,且只要在 Google Cloud 中點擊幾下即可完成部署。
宏庭科技為 Google Cloud 菁英合作夥伴,協助多間知名企業打造穩定的雲端基礎架構,保護企業敏感資料並防止惡意軟體攻擊與威脅,客戶遍及物流業、零售業、遊戲業與公部門。想了解更多雲端防護攻略嗎?歡迎填寫連絡表單,讓宏庭科技的專屬顧問團隊提供您世界級的 Google Cloud 資安解決方案,讓您的企業安心擁抱雲端!
延伸閱讀