如何建置分層雲端安全體系架構?

如何建置分層雲端安全體系架構?

  雲端運算是透過網路依照需求分配運算資源，其中包括伺服器、資料庫、儲存空間、平台、架構及應用等。雲端運算是採用量付費，只需要支付你所需用的量。對企業來說將資源遷移到雲端的好處則有低成本、數據安全、可擴展性和速度、彈性運算、無限的儲存空間、數據備份及恢復、迅速全球部屬等。

  在講到雲端就必須先了解可以在「體系架構」中看到三個層次：Infrastructure as a service (IaaS)、Platform as a service (PaaS)，以及 Software as a service (SaaS)。IaaS稱為「提供基礎架構的雲端服務」，將PaaS稱為「平台即服務」，而SaaS則是「軟體即服務」。

  而現在企業愈來愈常使用公有雲服務，包含IaaS、PaaS、SaaS等不同型態的服務，但企業也開始重視公有雲的資安，期望在使用便利服務的同時也獲得安全保障，該如何將公有雲的資安部分做好將是一大挑戰。

將安全性規劃到雲端部屬中

在公有雲實現安全性的解決方案步驟

1.     策略與技巧

建立雲策略、建立護欄、開發雲安全技能集、實施公有雲IaaS管理、雲端工程師對現代技術專業人員的技能指南

2.     設計與架構

根據安全架構、選擇風險框架、評估風險這三項對公共雲部屬執行有效的安全風險評估，使用舍伍德應用業務安全體系架構(sabsa)建構IaaS，成功設計和實現數據中心安全體系架構

3.     實現

可以選擇雲端平台的本機工具，可以比較AWS、GCP、Azure的身分和訪問管理(IAM)能力的解決方案，並使用第三方工具擴充使用雲訪問安全代理保護雲應用程序的安全，例如Office 365 exchange 線上分享和商用版OneDrive中的安全性

4.     操作

更新安全監控和事件響應-公共雲環境中的安全監控準備安全操作

自動化和協調安全性-為商業流程和自動化工具準備安全操作

安全架構的方法

1.     商業需求-釐清自己的商業定位，評估安全架構的合法性、名譽、操作、金融、監管機關等方面。

2.     策略安全架構-透過內部管理(內部政策和標準)

3.     邏輯安全架構-最佳實踐、基準、指導、供應商配置、深層防禦

4.     技術安全架構-可以參考他人的架構和精選設計模式

　　根據雲實體的邏輯安全體系結構和業務確定了我們的需要的安全服務和組件需求，將現有的控件帶入雲端，例如Firewalls(防火牆)、IPS(入侵防禦系統)、Endpoint protection(端點保護)，EDR(端點檢測和響應)、SIEM(安全信息和事件管理)等，也可以使用雲端供應商提供的工具，例如 威脅監測、工作負載安全、用戶行為監控、風險管理等，或是加入雲端第三方供應商控制CWPP(雲工作負載保護平台)、CSPM(雲安全態勢管理)、CASB(雲訪問安全帶理)、CDN(內容傳遞網路)等，透過推疊的方式建立起自己的防禦技術。

將雲端分割多層，每一層可以用其他技術工具去建立防禦：

第一層：資料-資料安全可用加密、遮屏、資料丟失保護、雲訪問安全代理(CASB)

第二層：身份-特權身份管理、雲訪問控制、行為監控和分析

第三層：基礎設施-基礎設施和工作負載安全、雲工作負載保護平台(CWPP)

第四層：網路-本地網路和分區、互聯、微型細分工具、網路應用程式防火牆(WAF)

第五層：DevOps-安全自動化、應用程式安全、控制與測試

第六層：雲可視性-本機監控和日誌紀錄、雲安全態勢管理(CSPM)、安全訊息和事件管理(SIEM)

第七層：策略/活動-本機合規性、雲安全態勢管理(CSPM)狀態報告

推薦建議

■不要在雲端的安全性中”做你平常一直在做的事情”。你可能會錯過可以解決風險的問題，甚至可能會引入更多的風險

■你要確保了解組織在雲方面的商業驅動因素。這些將會是你策略安全架構的基礎。

■從你的策略中得出清晰的邏輯安全架構雲需求。使用美國國家標準暨技術研究院的網路安全需求等安全架構提供幫助。

■技術安全架構組件必須制定到你的雲架構安全需求以確保由上而下，由下而上的可追朔性

■使用雲安全狀況管理工具來確保你的安全架構在雲端中維護