云端网络的安全与未来

就像企业员工身上看到的BYOD现象一样,企业IT走向云端虚拟化也是必然的趋势之一,趋势科技资深产品经理吴韶卿表示,在2016年预估会有71%的主机会采用虚拟化,尤其是公、私云相互混合将成为企业云端应用的主流,但如何处理好云端的资安问题,就成为企业采用云端所面临的重要挑战。

虚拟主机安全防护

吴韶卿提到虚拟主机弹性且建置快速的优点很适合用来进行开发测试,但企业如果对公云安全有所疑虑的话,也可选择使用公云来处理与机密无关的资料,或用来做为紧急异地备援的一个选项,像趋势科技就藉由公、私云相互应用的调配来达到减少支出的效果。他认为公云是一个“责任分治”的环境,云端服务供应商需要就其所提供的服务环境,做好资安控管的工作(例如提供虚拟主机租用的话就需要在不同租户间做好区隔),而用户就要负责虚拟主机上相关安全防护的建立。

云安全

正因为本身早就累积相当多云端虚拟化的使用经验,所以趋势科技很早就针对虚拟化环境推出Deep Security的解决方案,取代以往企业在个别的虚拟主机安装防毒软件的做法,Deep Security藉由与虚拟层(Hypervisor)的高度整合,在受保护的虚拟机器上只需安装一个小代理程式就能提供入侵侦测/防御、网站应用程式防护、应用程式控管、防火墙、记录档检查等安全防护,同时也能阻绝跨VM的攻击。

另外Deep Security还可搭配虚拟补丁的功能,让尚未来得及接受漏洞更新的主机也能得到保护,为IT人员争取到更多时间来完成更新档案的测试。对于公云环境则提供SecureCloud的资料加密服务,由趋势科技的云端平台保管金钥,让企业无需建置复杂的基础安全架构,便能对云端上的机密资料进行加密,确保资料安全的同时也符合法规遵循的要求。

acer eDC则是从资料中心的角度来看企业云端机房的管理问题,并将过往所累积资料中心的安全维运经验商品化为SAFE 3.0企业威胁防御系统。acer eDC产品经理苏怡琪提到SAFE 3.0能支援虚拟与云端环境,监控资料中心内的网路流量,搭配超过200条的ruler,并具备良好的栏位搜寻功能,让管理人员能以直觉的方式进行记录栏位的搜寻,像DBA执行过什么动作?或应用程式存取哪些DB栏位等。同时SAFE 3.0也提供日志储存(logger)与备援功能,且支援网路储存装置,以符合个资法中记录轨迹的保存需求。

云端虚拟所带来的网路变革需求

虽然目前已有不少厂商对于云端虚拟化环境推出相关的安全解决方案,但这些都还只是开始。思科系统客户解决方案顾问钱小山就认为,云端化的应用让资料中心资源的移动不仅从原本以client-server为主的垂直方向,开始转变成不同虚拟主机间的水平移动,甚至横跨不同资料中心间的大规模移转。这种不管是在质或量上的改变都已不是传统三层式网路架构足以应付的,因此他提到未来的网路架构设计应像织布般呈现南北、东西交错的情况,以因应虚拟化的资源移动需求。

而SDN(Software Defined Network)软件定义网路也是大家讨论的网路未来发展方向。采用OpenFlow协定的SDN是一个开放式的平台架构,将资料传输与网路控制工作区分开来,让与装置连接的硬体交换器仅负责执行单纯的封包传送,而路由的决定与网路控制权限都交由上层的控制器来决定,并由厂商提供API介面以便开发出能执行网管、资安等各种功能的SDN软件。

这种集中控管并简化网路架构的方式虽然能提高网路的流量承载能力,但 Juniper亚太区资安顾问Yeu Kuang Bin也提醒要注意SDN基础架构的安全问题。像是如何保护握有整个网路控制大权的控制器不受攻击?控制器与交换器间的传输通道是否安全?等问题都是SDN在商用环境大规模建置时需考量的问题。至于SDN架构下所具备可程式化控制器功能,也将打破现有安全闸道设备厂商将软、硬体绑在一起销售的长久策略模式,对网路、资安厂商的冲击是否会像虚拟化技术一样对IT产生深远的影响,这是值得我们注意的地方。

移动支付:打造一个信赖平台

智慧手机人手一机,移动支付已俨然成为未来付款趋势,尤其今年初金管会松绑移动支付规范后,加快移动支付产业的发展速度,惟金流交易与钱习习相关,安全风险不能忽视,因此在2013亚太资安论坛上,特别规划讨论有关移动付款的安全与发展。

目前移动支付所使用的卡片皆须符合Global Platform国际标准组织针对NFC移动装置所提出的新安全规定,而使用者可评估自己风险后选择不同程度的交易进行方式:1在手机萤幕打开时;2.使用者手动开启某张信用卡;3.手动开启某信用卡且输入PIN码;4.预设某张常用且风险小的卡片交易,但需要使用者知觉下才能交易等。

此外,也呼吁消费者应更新手机系统、不随便使用未加密的WiFi讯号、设定萤幕锁定的保护、将“私密资料”的程式做好防护。安全元件是移动支付当中储存应用程式与资料的模组,包括USIM卡、Micro SD卡、NFC手机等,手机处理器大厂安谋科技(ARM)介绍另一种可信赖执行环境(TEE),安全等级需求高的应用程式可放在TEE与其他应用程式区隔,还可与安全元件搭配,目前TEE相关API在Global Platform上都可取得。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量