五大步骤预防云端数据外泄

/Sophos中国区总经理 肖振江

近日不少企业因应疫情,扩大或新采纳云端科技,务求增添运营的灵活性,或者加强支持员工居家办公。前段时间,美高梅国际酒店集团 (MGM) 证实曾有黑客入侵其云端服务器,结果导致多达1,060万名酒店客户的个人资料流出。由此可见,在发挥云端效能的同时,也必须谨防自身成为公共云攻击的受害者。

了解本身责任

最重要的是在实施任何防范措施之前,先了解自己对公共云上数据应负的责任,并贯彻履行。需要知道AWS、Azure和Google等公共云供应商为客户提供的弹性使其无法全面保护客户的虚拟网络和虚拟机器,甚至在云端上的数据。它们采取的“分享责任”模式虽会确保辖下“云端本身”的安全,但客户需要负责保护任何自己“放在其上”的事物。

换言之,公共云供应商会照顾数据中心的实体安全,并以虚拟间隔划分客户数据的储存位置与环境区域,而客户起码要自行推行基本的防火墙规则,以监控云端环境的存取。否则,只要犯下让通讯埠对外开放这样的失误,日后就会成为罪魁祸首、众矢之的。

理解责任后,便可按照以下五大步骤好好保护数据,把受到云端攻击影响的风险降至最低。

第一步:借用自己对on-premises安全的心得

一个安全的on-premises环境是由长时间的经验和研究累积得来的成果。若不想让云端服务器受到恶意程序感染而致数据遭殃,不妨参考为传统基建所部署的一切,并将其套用到云端环境。这可能包括:

  • 下一代防火墙

在云端信闸设置网络应用防火墙 (WAF) ,在环境最外围阻截针对云端服务器的威胁。此外,也应考虑采用入侵防护服务 (IPS) 方案来配合法规遵循政策,并利用对外内容控制措施保护服务器和虚拟桌面基建 (VDI) 。

  • 服务器寄存保护

对云端服务器执行有效的网络安全防护,就像对待实体服务器一样。

  • 端点安全及电邮保护

如果以云端基建服务连接公司的手提电脑或其他装置,则使黑客有机会借钓鱼电邮或间谍程序窃取公司云端帐户的登入资料。因此,公司装置上的端点和电邮安全方案应时刻保持更新,防范未经授权的云端帐户访问。

第二步:识别所有的云端资产

要确保云端环境安全,就要先准确检视基建架构状况及数据流向,以辨别出任何不正常的流量行为,例如数据外泄。

第三步:建立完整的库存资料

完整的库存资料应包括云端资产,例如服务器、数据库实例 (database instances) 、储存服务,数据库、容器和无服务器功能等等。你在掌握资产数目之余,还得找出所有安全弱点,当中可能包括:

  • 数据库的通讯埠对公共互联网公开,使攻击者可以进行访问
  • 云端储存服务设定为“public”
  • 虚拟硬盘和Elasticsearch网域设定为“public”

第四步:定期评核身份存取管理

用户需主动管理用户角色及其授权状况,以及按角色而定的云端服务存取权限,以便识别出那些运用不必要特权的访问,继而重新审视相关权限政策。因为黑客只要取得这些帐户身份,便可在云端上任意搜寻公司的敏感数据。

第五步:主动监察网络流量

应凭借网络流量分析找出数据外泄等安全事故的蛛丝马迹。人工智能 (AI) 足以应付云端的动态特性并掌握这些数据源的动向,同时为你展示如何为之“正常”流量。如有个别活动“出轨”,你便可即时获警告有潜在恶意行为发生。

事实上,市场上已有结合了AI的安全方案助企业自动侦测云端环境的变化并作出对应防护,因此企业无需担心不知道如何着手预防云端数据外泄。