博弘助企業善用工具 建立多層雲端防禦架構
毋庸置疑,雲端安全是現今重大課題,欲實現此目標,有賴於共同責任模型之運作,一方面由服務供應商致力維護雲端基礎安全,二方面由用戶本身負責雲端內部安全。因此一個完整的雲端防護架構,從外到內理應蘊含多個層次,包含實體安全、網路安全、系統安全及資料安全。
Nextlink博弘雲端科技解決方案處處長宋青雲指出,以其代理銷售的亞馬遜雲端服務(Amazon Web Services;AWS)而論,已針對多層次防護需求展開綿密布局。
首先,亞馬遜憑藉多年營運大型資料中心的歷練,藉由無特徵的設施、強大的邊界管理、嚴格的進出管控、多層的身份驗證,捍衛「實體安全」;其次AWS針對DDoS、中間人攻擊、IP欺騙、未經授權的端口掃描、封包監聽等防禦需求都提供對應工具,協助用戶強化「網路安全」。
在「系統安全」部份,AWS藉由可靠的系統映像(AMI)、安全性組態管理、修補程式管理等相關服務,確保作業系統與應用程式安全,另藉由EC2 Roles for IAM、AWS IAM Credential管理等機制,嚴加管控AWS API存取。
至於「資料安全」,則蘊含邏輯存取控制、使用者授權(含強力的密碼規定、金鑰、憑證、MFA多重身份驗證)、非使用中資料的加密,及基於DoD 5220.22-M、NIST 800-88等嚴苛標準的儲存設備汰換機制等等關鍵要素。
藉加密與金鑰管理 確保資料安全
宋青雲進一步闡述AWS安全工具。有關雲端網路安全領域,較重要的項目包括Amazon VPC(隔離的雲端環境)、AWS WAF(過濾惡意Web流量)、AWS Shield(受管的DDoS保護),另搭配AWS Marketplace提供第三方作業系統層級防火牆,據此形成網路存取的多層防禦結構;雲端系統安全領域,涵蓋跟蹤使用者活動與API紀錄的AWS CloudTrail,負責使用者存取與加密金鑰管理的AWS IAM,追蹤資源設定與變更的AWS Config,分析應用程式安全性的AWS Inspector ,用戶另可利用AWS Trust Advisor ,針對AWS環境做安全或成本方面的評估。
最後關於雲端資料安全,AWS提供跨Region的資料備份、伺服器端資料加密、用戶端資料加密、KMS金鑰管理服務,並藉由AWS CloudHSM支援以硬體為基礎的金鑰儲存。而博弘可就近指引用戶正確啟用前述所有功能,協助開發相關自動化輔助程式,以期將這些安全服務的效益發揮到極致。