上一篇我們說明了在雲端控制矩陣之中,有關發行安全管理和災難回復能力之要求,本期將說明有關雲端安全控制要求的最後一項-安全架構之內容。
在雲端控制矩陣中的第十一項是針對安全架構的要求,希望藉由強化底層的網路基礎設施與應用程式,以減少營運時可能面臨的安全風險。以下將說明安全架構中的15個控制措施,以及可對應參考的ISO 27001標準與實務建議。
SA-01 客戶存取之要求
這項控制措施是要求在賦予客戶存取資料、系統、資產之前,所有已識別出與存取有關的安全、合約、法規之要求,應該被處理和達成。
在ISO 27001標準附錄「A.6.1.2資訊安全協調工作」中提到,組織之中的資訊安全,不會只是單一部門的工作,除了資訊單位之外,可能也需要人力資源、總務、行政、業務、稽核、法務等部門人員的參與,才能達成組織所設定資訊安全的目標,所以資訊安全的相關活動,需要由不同部門的代表協調,才能順利地執行。此外,「A.6.2.2處理客戶事務的安全說明」也要求,在賦予客戶存取組織資訊的權限之前,應考量到各項資訊安全要求,例如對於提供服務的內容描述,以及客戶應有的安全責任與要求等。
SA-02 使用者身分憑證
這項控制措施要求組織所提供的雲端服務,對於應用程式、資料庫、伺服器及網路的使用者身分憑證與密碼管理,需要滿足以下的最低要求:
1. 在密碼重設之前,進行使用者身分確認。
2. 如果密碼是由非使用者重設(如系統管理員),在第一次使用時必須要求使用者立即更改。 3. 對終止職務的使用者,應及時地取消其存取權限。
4. 至少每90天移除及停用閒置的使用者帳號。
5. 應採取唯一的使用者識別帳戶,禁止帳號密碼的共享使用。
6. 密碼過期週期為90天。
7. 密碼最小長度不得低於7碼。
8. 應使用混合數字與符號的強健密碼。
9. 重新設定密碼時,不得與最近四次使用過的相同。
10. 密碼經重試6次錯誤之後,即鎖定帳號。
11. 帳號鎖定最少期間為30分鐘,或是直到管理者解鎖為止。
12. 使用者閒置15分鐘之後,應要求必須重新輸入密碼才可繼續使用。
13. 特權使者者的存取與活動記錄必須被保存。
有關使用者身分管理之要求,還可以參考ISO 27001附錄「A.11.2.3 使用者密碼管理」,要求使用者密碼的配置,需要有正式的管理流程來進行控制,也就是說在配置的過程中必須實施所需的安全要求。
SA-03 資料安全
這項控制措施是要求組織的資料在不同系統、途徑及第三方的交換過程中,必須建立確保資料安全與完整性的政策和程序,以便遵守法律法規與合約的要求,同時避免資料受到不當的揭露、竄改與銷毀。
對此,可以參考ISO 27001附錄「A.10.8.1 資訊交換政策和程序」,要求組織的資訊交換,都需要依照所定義的管道和方式來進行。為了確保資料安全,也可依照「A.12.5.4 資料外洩」之要求,在系統上線前進行系統掃描,確認是否有不當的訊息外送或開放的傳輸埠,另外也要監測系統資源的使用與網路活動,以防範資料洩漏的事件發生。
SA-04 應用程式安全
這項控制措施是要求應用程式需依照業界認可的安全標準如OWASP來進行開發,並且合乎適用的法規與商業要求。針對應用程式安全,在ISO 27001附錄「A.12.6.1技術脆弱性控制」中提到,因為資訊系統本身並非十全十美,也就需要定期或及時地加以修補,這項控制措施要求組織應及時取得和弱點有關的資訊,並採取對應的行動來降低因已被公布的安全弱點,而遭受到不必要的攻擊。
SA-05 資料完整性
這項控制措施是針對資料的輸入與輸出,對應用程式介面和資料庫實施完整性檢查,以避免資料受到手動或系統執行錯誤所造成的問題。對此,可參照「A.12.2.1 輸入資料確認」之要求,針對所輸入的資料,在內容上面可加以限制,例如價格欄位只允許輸入數字、身分證字號只允許輸入10個字元等,透過對於數值的範圍、資料完整性、資料量及有效字元等的偵測,可避免像是資料隱碼(SQL Injection)或緩衝區溢位(Buffer Overflow)等常見的攻擊。
SA-06 生產與非生產環境
這項控制措施是要求生產與非生產的環境應被區隔,以保護資產不會受到未經授權的存取與變更。在實施方面,可參照ISO 27001附錄「A.10.1.4 開發、測試與運作環境的區隔」,要求組織針對應用程式的開發,勢必要備妥開發流程、測試和上線運作的程序文件。同時,所使用的資訊軟硬體設備,也要加以適當的區隔,不可在同一個環境上進行,也不將資訊存放在相同的儲存媒體中。
SA-07 遠端使用者之多因素認證
在雲端服務之中,使用者的身分可決定其使用的服務內容,因此在身分驗證方面,這項控制要求所有遠端存取的使用者,都必須使用多因素認證,包括像是登入管理介面、創建金鑰、存取多個使用者帳號、防火牆設置及遠端存取等。
在實施方面,可參照ISO 27001附錄「A.11.4.2 外部連線的使用者鑑別」,要求當使用者從外部網路連回使用相關服務時,需要採用適當的鑑別方法,確認使用者的身分以便進行存取控管。目前最常見的作法是採用VPN方式,以使用者帳號、密碼和Token進行身分驗證,在建立安全加密的通道之後,才允許其使用網路服務。
SA-08 網路安全
這個控制措施是要求針對信任與非信任區域的網路,應該被設計為可限制彼此的連結,並以文件化方式記錄所有服務的用途和被允許使用的網路協定與連接埠,也包括了針對不足之處所實施的補償性措施。另外,在網路架構圖上面,應清楚定義高風險的環境和資料流經之處,以降低可能違反法規之衝擊。
對此,可參考ISO 27001附錄「A.11.4.1 網路服務的使用政策」之內容,要求組織制訂有關網路服務和使用的安全政策,規範使用者只能存取已獲得授權的服務,並且在政策中說明像是有哪些網路服務是允許使用者來存取的、申請使用和授權的程序、可允許存取的方式,以及所採取保護網路連線和服務的安全管理機制等。
SA-09 環境區隔
這個控制措施要求系統和網路環境必須使用防火牆進行區隔,以確保能夠遵守以下的要求。 1. 業務與客戶之要求
2. 安全要求
3. 法律、法規與合約之要求
4. 生產與非生產環境區隔之要求
5. 敏感資料之保護與隔離要求
針對網路的安全管理,可參考ISO 27001附錄「A.10.6.1 網路控制措施」的內容,利用資安設備像是防火牆、入侵偵測系統、VPN等,以保護網路連線服務不會受到惡意的入侵和存取。對於敏感性資料,則可以依據「A.11.6.2 敏感性系統隔離」來要求敏感性系統需要有專屬的作業環境,以避免其他未經授權的人員可以操作使用。
SA-10 無線安全
這個控制措施要求對於無線網路的安全,應建立相關的政策與程序,並實施以下的安全防護作法:
1. 部署邊界防火牆來限制未經授權的網路流量。
2. 啟用安全的組態配置如加密與身分驗證措施,修改廠商預設的加密密碼和SNMP等設定。
3. 只限經過授權的人才可使用無線網路。
4. 有能力偵測偽冒的無線基地台,並且能夠及時的阻斷連線。
對於網路服務的安全,可依照「A.10.6.2 網路服務的安全」之要求,識別無線服務所屬的安全等級,以便採取對應的控管方法,包括制定申請使用程序、可連線的方式、身分識別方法及所採取的加密措施等。
SA-11 分享的網路
在組織之中,隨著規模的擴大以及資訊服務的增加,網路環境也顯得愈來愈複雜,若沒有實施良好的管理,資訊的傳遞、儲存、使用可能會危及本身的機密性、完整性和可用性。因此,這個控制措施要求使用分享的網路基礎設施時,應依據安全政策、程序和標準的要求,只限於已取得授權的人員。對於和外部單位分享的網路,應以文件化方式規劃所需的補償性控制措施,使其和組織本身的網路能有所區隔。
至於文件化的政策方面,可參考ISO 27001附錄「A.11.1.1 存取控制政策」,依照營運相關的存取安全要求來建立文件化的存取控制政策,藉此明確地說明每位使用者和使用群組如何配置所需擁有的存取權限。另外,針對網路的隔離,「A.11.4.5 網路區隔」提到的作法是可採取虛擬網段(VLAN)的方式,透過網路交換器、路由器、防火牆等設備,依照不同網域的安全要求來加以分割,以確保網路流量的區隔和安全邊界的劃分。
SA-12 時間同步
為了確保日誌記錄的有效性,正確的時間設定是非常重要的一環,唯有各項系統的時間維持一致,才能去作分析與追蹤。這個控制措施是要求組織中所有與雲端服務有關的系統,必須使用來自可信賴的資源,並且定義所在的安全區域,以便同步整合所有系統的時間。
對此,可參考ISO 27001附錄「A.10.10.6 鐘訊同步」,採行實務上最簡單的方法,也就是使用NTP的通訊協定與國際標準時間或當地標準時間伺服器來進行同步對時,確保使用了共同的時間來源。
SA-13 設備識別
這個控制措施要求對於提供雲端服務的各項設備,必須要有能力可以彼此自動地識別與連結,對於已知所在地點的設備,可透過地理位置感知技術,以強化連結時的安全驗證。
在ISO 27001附錄「A.11.4.3 網路設備鑑別」中提到,組織若想限制來自特定地點或設備的網路連線,最好是採取自動設備的識別方法,以鑑別連線的設備是合法且經過授權的裝置。實務上最容易採取的方式,是識別網路設備的MAC Address和網路IP,尤其是目前普遍使用的無線網路,相關行動設備皆建議採取此種方式來進行識別,若再配合使用者的身分鑑別,則可以大幅提高其安全性,避免受到惡意人士採用偽冒身分的攻擊。
SA-14 稽核記錄與入侵偵測
這個控制措施是要求包括特權使用者的存取行為、已授權與未授權的存取要求、系統例外和資安事件等,應依據所制定的政策要求來加以記錄。稽核記錄應當每日進行檢視,並且部署檔案完整性檢測和入侵偵測系統,以確保能夠即時地監控並分析事故發生的原因。有關稽核記錄的實體與邏輯存取,也只限於經過授權的人員才可進行。
在ISO 27001附錄「A.10.10.1 稽核存錄」中提到,無論是資訊系統、資安設備、資料庫或應用程式等,每天都可能會產生大量的系統日誌(log),這項控制措施的目的,就是要保留使用者的活動記錄、異常事件的告警等,以便可以用來找出事件可能的發生原因,甚至還原事件發生的過程。所以在實務方面,建議日誌記錄必須要保存適當的一段時間,至於應該保留的事項包括:
1. 事件發生的日期、時間。
2. 所使用的帳號和使用行為如登入和登出等。
3. 系統存取成功或失敗的記錄。
4. 系統組態的變更項目和範圍。
5. 系統工具程式的使用情況。
6. 所存取的檔案類型和方式。
7. 網路IP和使用的通訊協定。
8. 系統異常事件的告警等。
SA-15 行動碼
行動碼是指可以跨越不同平台設備使用的程式,像是ActiveX、Java、Flash等,這個控制措施是要求行動碼在安裝、使用和配置之前,應先取得管理者的授權,並且確保將根據既定的安全政策來執行,也就是必須能夠防止未經授權的行動碼的使用。對此,可參考ISO 27001附錄「A.10.4.2對抗行動碼的控制措施」之要求,實務上最常使用的管制方式是提高瀏覽器的安全等級,以避免使用者有能力直接執行有害的惡意程式。
雲端服務牽涉到基礎設施的維護、系統的穩定及資料的安全等,對雲端服務供應商而言,要如何展現有效的安全管理並取得使用者的信任,往往是決定服務好壞的關鍵要素。雖然目前仍缺少一個雲端安全的國際標準,但透過雲端安全聯盟的努力與推廣,包括所提出的雲端安全關鍵指南、雲端控制矩陣和STAR認證等,也已受到業界的肯定。因此,如果能夠實施其所建議的各項要求,相比之下,更能夠具體地說明服務供應商對資訊安全的重視與決心,也能夠為廣大的使用者提供更安全的雲端服務。(本文刊載於2014年2月號網管人雜誌)
沒有留言:
張貼留言