郭長佑2020-05-08
Thales多雲世界的零信任策略線上研討會:自己掌握加解密金鑰才能安心上雲

Thales DIS CPL大中華區資深技術顧問陳昶旭表示,Thales自2013年開始發布資料威脅報告(Data Threat Report, DTR),今(2020)年更在全球16國訪問超過1,700名資訊主管以掌握更全面的趨向。

雲端威脅

調查首先顯示企業資料比過去面臨更嚴峻的威脅,26%受訪企業表示過去一年內發生過資安事件,49%受訪者職涯至今都遭遇至少一次資安事件,47%組織一年內發生資安事件或不合規。資料若不安全則增加企業於數位轉型的複雜度與風險。

更令人擔憂的是,企業雖已較過往更接受雲端環境,受訪中已有50%企業將資料放入雲端,其中卻有48%為機敏(機密、敏感)資料,且所有受訪者均坦承未對所有雲端機敏資料加密,約僅57%加密。

此外,超過八成的受訪企業使用2個以上的Public IaaS服務、2個以上的PaaS服務,以及11個以上的SaaS服務,無論使用何種型態的公有雲服務企業資料的安全性依然由企業主責,雲端服務業者(CSP)僅能提供服務面的安全承諾。

量子破解威脅

72%資訊主管認為五年內量子運算將威脅組織現行的加解密、簽章防護

企業除了必須正視雲端威脅外另一威脅也必須開始關注,今年的調查首次加入量子威脅,目前IBM、Google、Intel等大廠積極發展量子電腦,一旦量子運算力達足夠強大,將可快速破解非對稱密碼演算法,對稱演算法也可加速破解。

因此,受訪企業27%認為一年內量子運算即可能對現行企業的加密資料產生威脅,72%企業則認為在五年內產生威脅。對此企業在評估加密系統時,當考慮系統日後是否能透過軟體、韌體或硬體模組等方式升級其演算法,以抵禦量子破解的威脅,Thales稱此為Crypto Agility。

Big Data、IoT防護

Thales建議的物聯網完整佈署方案

在大數據、物聯網等應用領域資訊主管也顯露擔憂,大數據必須將龐大的資料丟入資料湖內供多方分享,30%主管發現在分享環境中發現企業的機敏資料,37%承認缺乏有效的存取控管。物聯網環境中亦有27%發現機敏資料,26%未有效控管。

資深技術顧問陳昶旭補充說明,物聯網由於感測器節點、閘道器等多為特有設計,不容易在事後增補資料防護方案,建議在評估與佈建導入前即將資料安全防護列入考慮。

針對物聯網資料防護,Thales建議感測數據加密傳回企業後由DSM(資料防護管理器)管理,金鑰則放入HSM(硬體防護模組),同時也在雲端建立與使用DSM,且無論使用哪一家CSP均自己主責金鑰,保有資料控制權,此即BYOK(Bring Your Own Key),並搭配Thales的CCKM(CipherTrust Cloud Key Manager)進行管理。

Mobile Payment、Container防護

接著為行動支付,由於法令與主管機關已對支付有週全明訂,所以行動支付目前少有資安事件,不過仍有54%認為可能洩漏個資,52%可能洩漏支付卡資訊,48%的行動支付App只採低安全度的認證。

另外容器技術是近年來熱門的話題,但其安全性還不夠完備,40%認為在容器環境中分享的資源可能違反隱私保護,38%擔心容器安全,以及38%會有未經授權的容器存取等。針對容器隱憂,Thales的技術可對每個容器映像檔加密,加密即形同隔離,達到防護效果。

DevOps

DevOps同樣是近年來的熱題,但也同樣有資料威脅,其中以金鑰、憑證放置與管理不當為最多,達34%;其次是採行不安全雲端基礎建設,為32%;至於落地資料未加密或未存取控管則為28%。對此Thales也建議導入BYOK與CCKM方案。

小結

綜觀上述可以歸結以下五點:

  • 過去以本地端為主的資訊系統為求便利逐漸遷至雲端,但雲端環境不同於地端,原有的地端安全防護無法全部挪移至雲,導致防護立降低;
  • 在積極採行多雲、混合雲以及各種型態(IaaS/PaaS/SaaS)的公有雲服務時,企業仍必須有自主的資料安全工具。
  • 企業必須更加關注資料探索解決方案(data discovery solution)以及集中化的金鑰管理,藉此增加資料安全性。
  • 關於資料安全解決方案尤其在加密上須保持警惕,這對因應今日多數的資料風險至關重要。
  • 量子運算技術持續突破,在未來數年內即可能破解現行大宗運用的非對稱式密碼系統,企業對此當保持關注並提前因應準備。

除了從調查獲得的體認外陳昶旭也補充,資安領域正邁入「零信任,Zero-Trust」時代,為避免資料威脅建議企業當依序確認與建立以下四點:一、探索企業內的機敏資料並將其分類;二、對機敏資料實施加密;三、保護好加密所用的金鑰;四、落實使用者存取控管。

零信任世界的現代數據安全

實際案例分享

最後陳昶旭也分享兩個實際的企業導入案例,首先是一家法國保險業者希望落實集中化的加密政策,無論在地端或雲端都必須遵循適用此政策,因此採用虛擬化的DSM(vDSM)確保在地端、雲端均可執行,而後將金鑰放入HSM,而HSM設備也提供虛擬化能力,能切割部分資源支援企業內其他的PKI(公眾金鑰基礎建設)。此案例同時也導入BYOK、CCKM,以及在公有雲環境中運用BYOE,E即Encryption加密之意。

另一個案例則為度假旅館,主要目標是實現去識別化,該旅館有建置自有的防護資訊與事件管理(SIEM)系統,以此統合收集自有資訊設備的日誌資料進行資安分析,不過日誌資料也上拋一份至雲端,為了避免傳至雲端時可能的資料洩密,因而在內部先行將資料去識別化後方傳入雲端。

由此可知,Thales的資料加密方案適用於各種型態與環境,型態如資料庫、檔案系統,環境包含雲端、地端、物聯網環境、大數據環境等,均能獲得相同一致的加密防護、存取控管、金鑰安全。


關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416