在雲端運算的領域之中,最早被許多人認為是一種雲端技術的就是虛擬化技術,但事實上在雲端運算還沒有成為熱門的話題之前,虛擬化就已經被運用在儲存系統中,而且進一步擴展到主機層的虛擬化及網路層的虛擬化。
對雲端運算的三種服務型式-SaaS、PaaS、IaaS而言,虛擬化目前已被廣泛的運用在IaaS服務之中,藉由虛擬主機(VM)的幫助,服務供應商提供了一個巨大的虛擬資源池(pool),讓雲端運算可以快速且彈性的擴充,並且支援多租戶的方式,讓使用者可以採自助的方式,自由地調配所需的運算能力(包括CPU處理器、記憶體容量、儲存空間及虛擬主機的數量等),同時虛擬主機也可作為提供SaaS、PaaS等服務的強大基礎。
虛擬化可能的安全風險
雖然虛擬化為服務供應商在基礎設施方面,降低了許多建置的成本,但是在方便快速的背後,虛擬化也隱含了許多資安方面的風險,目前最常被關注的就是虛擬化應用了Hypervisor作為了虛擬主機的管理層,一旦它被攻陷而被惡意人士操控時,就可能會影響所有在它之下的虛擬主機安全。
其次,虛擬主機作為多租戶方式提供給不同的使用者來操作,如何有效地區隔並控制在同一實體主機上的網路安全,避免彼此之間的干擾和刻意的攻擊,也是服務供應商的一大挑戰,而且在使用者租用完虛擬主機之後,如何確保曾經儲存過的資料會被徹底銷毀,除了技術面的保證之外,使用者對於服務供應商的執行過程和信任,至今仍然是一個容易受到質疑的問題。
至於在虛擬主機之間的網路流量方面,由於是在實體主機的背板上直接傳輸,傳統的網路安全設備如防火牆、入侵偵測系統等將無法偵測並阻擋可能的惡意行為,因此就必須採用同樣已虛擬化的防火牆、入侵偵測系統等,來監控虛擬主機之間的網路流量,另外,新一代的網路安全設備可透過API層和與Hypervisor管理層的結合,也能夠將實體的網路架構和虛擬化環境結合,同時來管控所有產生的網路流量。
採用虛擬化技術的安全建議
在雲端安全聯盟(CSA)所提出的雲端運算關鍵領域安全指南中,針對虛擬化技術所提供的安全建議,包括:
- 使用者應該識別服務供應商所採用的是何種虛擬化技術,並注意所公布關於虛擬化技術的安全漏洞和修補方式。另外,和傳統的作法一樣,使用者必須區隔測試用的虛擬主機和實際上線的虛擬主機,以避免可能的互相干擾和資料混用的問題。
- 使用者必須確保在每一台虛擬主機中,都具備所需的安全機制如防火牆、防毒軟體、入侵偵測系統等,除了供應商所提供的安全機制之外,也可以考慮採用第三方的安全服務,減少對供應商的依賴,強化所使用的虛擬主機安全。
- 注意虛擬主機映像檔(VM Image)的安全,如果含有惡意程式的虛擬主機被直接佈署到虛擬化環境之中,也就等於越過了外在的防禦,可以直接由內部發動攻擊。因此,未使用的虛擬主機映像檔,建議採取加密的方式,以避免受到不當的利用。
- 如果是含有敏感資訊並有高安全要求的虛擬主機,它的映像檔無論在關機或運作時都應該加密,雖然加密的作法可能會降低虛擬主機的效能,但為了安全性考量則是可以接受的。同時也要注意若對虛擬主機實施了Snapshot備份,是否會間接造成此一控制失效的問題,因為惡意人士也可能從備份的Snapshot中,提取出想要獲得的敏感資訊。
- 在虛擬主機尚未啟動之前,通常是處於關閉的狀態,換句話說,它無法即時地去更新作業系統的修補程式(patch),以避免利用已被發現的安全漏洞來進行攻擊。因此,當這些虛擬主機被啟用之後,應該先進入一個隔離的區域,並且在更新完所有新增的修補程式之後,才能夠進入到正式的作業環境之中。
雲端運算的興起,除了改變傳統的IT服務之外,對於強化資訊安全方面,也提供了許多貢獻,過去許多企業礙於人力、成本、效能或更新速度的問題,遲遲未能採用的資安防禦方式,藉由雲端安全服務(Security as a Service;SecaaS)的採用,可以降低企業在安全管理上的負擔,並且獲得更加充裕的安全技術支援,協助企業降低所面臨的資訊安全風險。
對企業來說,採用雲端安全服務的優勢是可以馬上獲得業界的最佳實務(best practice)和許多技術專家的支援,並且透過雲端可量測的服務與透明的報表,企業也可以清楚地了解資安方案對企業整體的效益。舉例來說,針對防毒服務,企業可依據實際的電腦數量和使用者人數的增長再來選購所需的服務;另外,軟硬體等安全設備維護與每天產生的日誌(Log)管理,都可藉由委外的資安服務來提供協助,降低企業內部自行營運的管理成本。
目前,業界所提供的雲端安全服務有:
- 身分識別(IAM)服務 – 透過雲端來進行使用者的身分驗證,並賦予使用者所需的存取權限,可以解決企業跨區域國界的驗證效能問題,並且可透過雲端服務來保存各項登入與存取記錄,甚至匯整到資安事件管理(SIEM)服務,以因應不當存取的資安事件,提供預防和處理的機制。
- 防資料外洩(DLP)服務 – 在防止資料外洩方面,佈署DLP方案是一種可以預防資料從各項傳輸管道不當洩露的控制措施,透過中央政策(Policy)的制訂,並在終端設備如筆記型電腦安裝代理軟體(Agent),可以管制資料從各種週邊介面(如USB)傳遞的內容,如果內容違反了企業安全政策(例如含有個人資料或信用卡號),則可即時地加以阻擋。
- 網站(Web)安全 – 企業可以將網頁瀏覽的流量導引至雲端服務之中,藉由服務供應商所提供的分析機制,可以阻擋不當的網頁瀏覽和惡意程式的下載。即使使用者已離開了企業內部,仍然可以透過雲端服務,讓使用者的網站瀏覽行為受到保護,甚至可進一步強化使用者在使用網站應用程式時的安全。
- 郵件(Email)安全 –可以避免使用者掉入垃圾郵件、詐騙郵件的陷阱,即時阻擋使用者打開惡意的郵件附檔,並且透過身分驗證機制、數位簽章和加密方式,來確保郵件內容的正確性與安全。
- 資安事件管理 – 藉由供應商所提供的資安事件管理平台(SIEM),可以協助企業匯整所有的事件記錄,並提供關聯式分析來協助企業評估和預防可能的資安事件,並且協助進行處理。對於事件記錄的保存,能提供完整性的防護,以作為安全事件的調查和相關報告的證據。
- 營運持續與災難復原 – 透過雲端強大的運算能力與可彈性調配的資源,對於無法接受IT服務中斷的企業而言,可以透過雲端來達成應用程式與資料備援的目標,一旦事故發生而需要在另一個地點重啟服務,服務供應商可快速提供在不同地點的應用程式、資料存取和IT基礎設施所需要的各項資源。
藉由雲端所提供的安全服務,雖然能為企業帶來許多優勢,但同樣地它也具備了雲端服務共同存在的弱點與風險,例如企業必須確保網路的暢通與安全的連線管道,才能放心的採用雲端安全服務;雲端安全服務同樣依賴服務供應商與使用者所簽訂的服務等級協議(SLA)規範,一旦協議內容不夠完善或是服務供應商無法達成使用者的要求,使用者同樣需要預先考慮雲端服務的可移植性和資料移轉的問題,這些都是所有雲端服務不可輕易忽視的重點。
最後要提醒大家,目前雲端服務仍在不斷演進與成長之中,雖然雲端運算安全指南已為我們點出了需要關切的安全問題,但是仍然有許多未知的安全風險可能產生,我們唯有持續並盡可能地意識到可能的風險,才有辦法去管理風險,並且將風險降到可以接受的程度。希望這一系列的文章,能夠給所有服務供應商和使用者作為參考,並且讓我們一起來共同努力,才能打造出更好的雲端運算環境,提供更加安全便利的各項雲端服務。(本文刊載於2012年12月號網管人雜誌)
[參考資料]
CSA:Security Guidance for Critical Areas of Focus in Cloud Computing
沒有留言:
張貼留言