若想避免安全危機,企業應選擇有效的防護解決方案,以確保其雲端服務的能見度、有效控制和可信度,能妥善保護企業的雲端應用程式、基礎設施及資料,並提供客戶在雲端上高效、安全地運作其業務。
文/劉基章(Check Point台灣區總經理)
大眾通常不會懷疑雲端服務供應商及其提供的安全保護措施,認為資料只要是放在雲端,防護罩就會天衣無縫地展開。但事實上,如果沒有搭配防護能力嚴密的技術,雲端基礎建設也可能受到攻擊,尤其隨著雲端服務使用者大幅成長,雲端基礎建設開始遭受越來越多威脅。而觀察常見的雲端漏洞還會發現,終端應用程式往往也是漏洞所在,其餘防禦力低落的區塊也包括了不安全的組態設定、易受攻擊的應用程式以及地端到雲端的資料傳輸連線安全等。
為了驗證雲端基礎建設是否真的安全無虞,Check Point Research 進行一系列的研究,並揭露 Azure Stack 和Azure雲端平台上所發現的各種常見攻擊途徑和漏洞。Azure Stack 是微軟雲端運算服務平臺Azure的一套產品組合,可將Azure服務和功能擴展至從資料中心到端點和遠端辦公室等任何環境。該產品組合支援能跨點建構、部署和運作的混合式及邊緣運算應用,並提供豐富的選擇以靈活滿足不同工作量和各種企業需求。
Check Point 研究人員發現透過 Azure Stack 中的漏洞,能截取使用者的螢幕截圖及Azure基礎設施裝置中的敏感資訊。此安全漏洞將使駭客能獲取所有在裝置上運行Azure的企業的敏感資訊。駭客會先取得 Azure Stack 入口網站的訪問權限,讓使用者發送未經身份驗證的HTTP請求,包含提供螢幕截圖以及有關使用者和基礎設施裝置的資訊。 除此之外,我們也證明了駭客可在Azure雲端中建立免費帳戶並執行惡意Azure功能來破壞使用者應用程式、資料和帳戶。最後,駭客可能會控制整個Azure伺服器,進而控制所有公司程式碼。
上述漏洞(編號CVE-2019-1372 和 CVE-2019-1234)已由微軟修復,微軟也確認這些漏洞與 Azure Cloud 和 Azure Stack 相關。
雲端守門員 提供企業全面性安全防護
隨著雲端運算益發盛行,許多企業除了將內部的各類機密資訊傳送至雲端存放之外,使用者的個人資料也同時大量儲存在雲端裡。因此,雲端資產是否受到妥善保護這件事,儼然成為多數企業在數位轉型過程中的重點考量。 Check Point的CloudGuard系列產品應運而生,協助全球各類型的企業防禦第五代網路攻擊(由網路、雲端及行動裝置等多重管道滲透),取得零時差的資安威脅防護,扮演著「雲端守門員」的角色。
以澳洲非營利(Australian Non-Profit)為例,這是一個在澳洲有3500名職員的社區服務組織。為了最佳化組織的客戶關係管理,他們的工程團隊使用微軟的雲端運算服務 Microsoft Azure,並部署了各階段的資料雲端化計劃,很多牽涉到客戶私人資訊的檔案因此都被置放在企業的雲端裡面。
當時工程團隊提出的訴求是在網路及他們的伺服器間架構一個使用簡便、可高度管理並具備良好整合性功能的智慧防火牆。最後他們選擇了 CloudGuard IaaS 來鞏固 Microsoft Azure 基礎建設的安全性,在兩者密切的搭載配合下,ANAC的雲端資產擁有了更完善的保護,CloudGuard IaaS在運用上的延展性,也讓這個組織的IT團隊可以更安心地鋪排下階段的資料雲端化計畫。
在使用雲端應用時,企業常常忽略了安全防護,就好像雲端服務是在自家後院受柵欄保護般安全。人們很容易忘記,儘管在企業辦公室內工作,但使用企業網路連接的裝置,實際上正與組織外部託管的雲端服務進行傳輸。針對行動裝置、雲端及企業內部網路為目標的第五代網路攻擊,以大規模且快速攻擊為特色,類似這種尖端的攻擊,能輕易通過現今大多數組織採用的傳統靜態偵測型防禦機制。由於雲端資產屬於雲端服務提供者及一般使用者共同擁有,往往難以界定安全問題究竟該由誰負責,也很容易引起更多混淆。
Check Point 致力於推動安全技術的發展、努力確保雲端基礎設施的防護,並積極推動業界資訊共享,同時也是希望能夠藉由推廣,提高大家對於資安的意識。潛在的安全風險能帶來巨大的損失,網路釣魚和資料外洩使全球品牌在市場價值和品牌名聲方面付出了慘痛的代價。