在面對上雲議題時,金融業最關心的還是資料風險,當服務與資料上雲後,雲端的資安防禦強度能否如同在地端一樣,而在談論如何讓雲、地兩端的資安強度一致前,首先金融業者要瞭解造成雲端資安風險的幾個原因。
第一是錯誤的雲端配置,這是造成雲端資料外洩風險最主要的原因。勤業眾信風險諮詢服務資深執行副總經理林彥良指出,雖然雲服務供應商提供很多的安全管理工具,但也需要企業去做設定、配置,才能落實安全防禦機制,過去很多資料外洩案例,就是企業把地端服務直接搬到雲端,但地端的控制措施卻沒有同樣複製到雲端,導致資料外洩、異常存取的情形。
根據資安業者Fugue & Sonatype在2021年5月公佈的《The State of Cloud Security 2021》調查報告,接受調查的300位雲端工程專家中,有83%表示他們所任職的企業,曾經因為錯誤配置而面臨資料外洩風險,而造成錯誤雲端配置的原因有很多,前三名分別是難以管理的雲端API與接口(32%)、缺乏足夠的控制與監督(31%)、及安全防護與政策上的疏忽(27%)。
第二為多雲架構產生的管理漏洞。在《The State of Cloud Security 2021》調查報告中,有45%受訪者表示,因為採用多雲環境而使雲端安全防護變得困難。林彥良認為,在多雲議題外,雲、地混合的資訊架構,也是資訊長或資安長在管理資安風險時的挑戰。
《雲端資安關鍵一》建立可視化能力、清楚掌握雲端資安管控範圍
而金融業若要強化雲端資料安全防禦能力,避免上述二大風險,可視化與零信任思維是相當重要的兩個關鍵。
所謂可視化主要展現在兩個面向,一是企業的雲端管控範圍及資安責任,二是資安防護機制的運作狀況。
首先,金融業在上雲後,資安防禦責任就是和雲服務供應商一起承擔,因此,雙方要共同訂定安全責任模型,明瞭彼此的權責範圍。台灣微軟專家技術部資深解決方案經理張士龍指出,企業使用的雲服務類別不同,彼此間需要擔負的資安責任就不一樣,舉例來說,如果用SaaS服務,企業只要負責資料和AP的存取控制,但若是IaaS服務,包括作業系統、中介軟體、執行環境、資料、應用程式和系統管理與規範,都得由企業負責。林彥良強調,企業要清楚自身的雲端管控範圍,及在這個範圍的設備、機器與服務,才能有效維持整體網路安全衛生。
其次,任何上雲的資訊資產都一定要有防護機制,且金融業者要清楚掌握這些資安機制的運作狀況。而微軟針對雲端設計的Microsoft Defender for cloud工具,涵蓋雲端工作負載保護(Cloud Workload Protection Platform; CWPP)及雲端安全性狀態管理(Cloud Security Posture Management; CSPM)兩個面向,CWPP可以針對所有在雲端的工作負載,包括雲端原生、資料庫、伺服器、甚至是Azure服務,提供相應的防護機制。而CSPM則會根據雲端服務給予安全分數,看看這些服務有沒有做到合規,並自動提出改善或強化建議。恰恰能協助金融業強化雲端資安防禦的可視化能力。
「而且微軟CSPM範圍不限Azure服務,企業可納入其他雲服務,做好多雲的統一管理。」張士龍強調。林彥良也認為,這是相當重要的關鍵,金融業唯有將地端和雲端,以及雲端上每一朵雲的安全配置都拉到一樣的程度,才能避免管理漏洞。
《雲端資安關鍵二》以風險為基礎的條件式存取 重塑零信任防禦網
在建立可視化能力之餘,金融業也應該採取零信任思維,重塑資安防禦網,才能在雲服務大量被採用的今日,繼續做好資安防禦工作。
張士龍表示,現代化的身份與裝置識別機制,是建構零信任網路的起點。企業不只要確認連到雲端的使用者身份及存取權限,也要確認使用者連到雲端的裝置是可以被信任的,而確認的方式有很多種,例如:檢查裝置是否符合公司規範、有沒有安裝公司規定的端點管理軟體,另外,金融業還要確認連線進來的IP是否安全。
簡單來說,在零信任網路下,金融業的存取管理原則應該轉變成以風險為基礎的條件式存取,舉例來說,如果偵測到連線進來的IP屬於殭屍網路,這就是高風險,因此無論使用者身份為何都應該拒絕存取。
「要做到零信任,不一定要打掉重練,而是要重新審視既有架構和結構,再思考如何規劃零信任架構,」林彥良強調。像微軟提供的零信任成熟度模型評定服務,可以幫企業評估自身處於零信任成熟度的哪一個階段,再思考如何做下一步規劃。
未來金融業在強化競爭力上,有兩個主要的核心元素:風險及資料,只要能掌握這兩點,就可以迅速出發展出各式各樣的應用和服務,尤其在安全與風險管理能力上,若能具備一定的能力,金融業就會更有信心去運用新科技,進而能夠從容因應外部環境的快速變化與挑戰。
想了解微軟提供更多合規資源:「微軟信任中心網站」
Podcast-金融業上雲關鍵:零信任思維,才有百分百資安
