《iThome》善用雲端工具,快速打造高安全性基礎架構

iThome / 黃博修
不同於地端自建必須由企業完全承擔資安責任,透過雲端服務的使用,資安成為雲端業者和用戶的共同責任,而且隨著IaaS、PaaS、SaaS的不同應用形式,用戶所需分攤的資安責任也隨之遞減。

善用雲端工具,快速打造高安全性基礎架構

 

縱深防禦是重要的資安對策,涵蓋身分、資料、應用程式、網路安全到進階威脅,每一個環節都有其目的與意義,無論在雲端或地端都是打造相同的防護機制。主要的差異在於雲端現成的資安工具與資源,以及啟用即可運行的服務機制,將是協助企業用戶降低資安負擔及風險的捷徑。

不同於地端自建必須由企業完全承擔資安責任,透過雲端服務的使用,資安成為雲端業者和用戶的共同責任,而且隨著IaaS、PaaS、SaaS的不同應用形式,用戶所需分攤的資安責任也隨之遞減。以SaaS為例,用戶僅需專注在系統管理與規範,資料中心、網路、應用程式等環節的資安維運則交由雲端業者負責。

換言之,對於資安人力或資源配置不足的企業而言,改採公有雲架構,將是分散資安重擔、降低資安風險的有效作法。值此同時,Microsoft Azure更透過免費工具與訂閱服務的提供,以及與專業夥伴的聯手合作,協助企業強化資安防護、簡化資安管理。


兩大免費工具即時進行資安健檢

資安是企業用戶對公有雲的常見疑慮,即使已經採用雲端服務,仍會憂心資安防護是否足夠,以及是否應該啟用公有雲提供的所有安全防護。

Azure內建的資安防護機制,可完全對應於縱深防禦的每一個環節,同時以開放平台的優勢,讓資安設備或解決方案供應商透過虛擬裝置(virtual appliance)的形式進入雲端,以用戶熟悉的管理介面與微軟共同提供安全防護,大幅簡化資安管理。

為了協助用戶掌握自身在雲端組態和架構設定的安全狀態,微軟提出Azure Well-Architected Framework,以微軟內部及業界專家的最佳實務為基礎,透過線上問卷的問答互動,協助用戶瞭解自己在雲端和地端的安全狀態及完備度,並提供實作的參考架構,同時亦有完整的中文文件資源做為輔助。

呼應Azure Well-Architected Framework的五大主軸,包括維運最佳化、資訊安全、高可用性、提升執行效能、降低雲端成本,運行於Azure的兩項免費工具提供了進一步的行動指南。首先是Azure Advisor,可協助用戶瞭解目前的組態是否符合最佳的安全防護設定,以資訊安全為例,Azure Advisor可根據雲端帳號的組態設定列出可再強化的事項,並標示其對資安的影響高低。

另一項免費工具是在Ignite 2021推出並更名之Microsoft Defender for Cloud (整合原有Azure Defender以及Azure Security Center),集結了原有的Azure Security Center與多項資安功能,可根據市場上主要的資安規範要求,逐一檢視及判別組態安全性的高低。

 

三大雲端資安服務倍增基礎架構強韌度

除了運用微軟提供的免費工具來檢查自己的安全狀態及等級,進一步與微軟的專業夥伴合作,執行深度的資安健檢、評估與規劃,亦能加速找出最佳配置的雲端組態與資安設定。

從基礎架構起家的自由系統,近兩年協助包括上市上櫃企業在內的多家用戶運用雲端服務來強化資安防護,其中某家知名電商將旗下的高流量網站由地端搬移至雲端,以及使用Azure DDoS ProtectionMicrosoft Defender for CloudWeb Application Firewall所建構的雲端資安防護網,正是值得借鏡的實例。

DDoS是常見以流量癱瘓網站的攻擊手法,但對電商而言,網站服務的中斷就等於營運的中斷,若在地端必須採購資安產品並與Web主機整合,但在雲端,則可在訂閱帳號直接啟用這項服務。透過Azure DDoS Protection,由Azure預先過濾及判別進入的流量,確認正常才會放行使用網站服務;結合即時的流量分析和警示如流量來源及頻率,可將電商網站因DDoS攻擊而無法營運的風險降至最低。

Microsoft Defender for Cloud著重在強化Web主機的強健度,對於在Azure啟用的虛擬機器提供主機健康狀態評估與智慧化建議,以最佳的能見度來協助IT部門精準因應資安弱點,強化防護措施。值得一提的是,Microsoft Defender for Cloud可對應目前主要的安全規範如ISO 27001,確認主機的合規性及資安強度,以因應內部或外部稽核的需求,主動提供專業的報告資訊。

Azure Web Application Firewall主要用於防範SQL Injection及惡意程式攻擊,以Application Gateway來判別服務要求或查詢的行為是否正常,確認無誤才會放行對應用程式的使用,對於顯而易見或不正常的行為則會即時阻擋。這項服務的啟用極為簡便,只要設定所需的政策及資安強度就能立即運行。


結合專業服務團隊優化防護機制

無論使用哪項防護工具,自定義保護規則都是最耗費時間的環節,也是自由系統最能協助客戶強化資安防護的專業優勢。資安規則及政策無法一體適手,不同的產業、業態及應用程式都必須個別設定,才能達到最佳平衡,舉例來說,電商網站和產業實驗室需要的資安強度及準則就截然不同。

自由系統提供的資安管理服務,包括判讀事件內容及緊急程度的專業解籤、事件回應及應變處理的即時回應、環境結構及工具設定調整的動態優化,協助企業用戶找出最為重要的資安環節來自訂客製化政策,並於次要環節使用預設或基本政策,就能以最佳的成本效益執行最合適的Azure資安防護組態及設定。

在地端的資安防護必須疊加許多軟硬體,無論成本或複雜度都很高,以及所有責任一肩扛的沈重壓力。但以Azure建置的雲端資安防護,僅需啟用服務、調整政策及強度設定,不僅企業的維運成本、人力需求和服務中斷風險都可降至最低,更能持續確保基礎架構的高安全性。

 
延伸閱讀與補充資訊

深入了解Azure安全性與服務藍圖 ►End-to-end security in Azure
瞭解組織在雲端和地端的安全狀態及完備度 ►Azure Well-Architected Review

點此閱讀 iThome 報導原文