雲端服務的資安防護與建議

facebook LINE

[資料來源] 台灣電腦網路危機處理暨協調中心
 
https://www.twcert.org.tw/tw/cp-14-7004-c77d9-1.html 

透過雲端部署服務已經逐年成為趨勢,由於雲端服務具有高擴展性、高方便性以及高運算彈性,因此企業透過雲端部署服務的比例逐漸增長。然而駭客逐漸改變攻擊模式,鎖定雲端服務,而雲端服務的漏洞數量也不斷增長,企業在處理雲端安全的議題時,仍以傳統資安架構及防禦模式來處理,因此容易形成資安防禦層面的缺口。

目前雲端服務主要有Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure與阿里雲(Alibaba Cloud),本篇以Google Cloud Platform 為例,提供企業相關資安防護與建議:

  • 啟用多重身份驗證、使用強密碼:
    由於攻擊者可藉由攔截或竊聽Google Cloud Platform的密碼或憑證,建議啟用多重身份驗證,以及使用複雜度較高的密碼原則,並定期修改密碼,以降低資安風險。
     
  • 最小權限原則:
    企業應採取最小權限原則設定使用者僅能存取他們履行職責所需的內容,而不能存取更多內容,以避免攻擊者竊取密碼後,能存取安全相關日誌資訊或是Google Cloud Storage buckets,導致數據被修改、刪除甚至洩漏。
     
  • 存取限制設定:
    企業應停用buckets公用分享設定,並且使用VPC Service Controls 限制哪些IP可以訪問 Google Cloud Storage API,以避免攻擊者若具有足夠的權限,能上傳惡意代碼至Google Cloud Storage buckets。
     
  • 啟用版本控制功能:
    在buckets上啟版本控制功能,以便可以恢復較早版本。
     
  • 啟用“Data Read”與“Data Write”Log:
    由於Google本身允許個人或團體挖掘其漏洞,故在zero-day漏洞是無法避免的,因此建議啟用“Data Read”與“Data Write”Log利於事件發生後的追蹤。
     
  • 啟用”Access Transparency”功能:
    由於可能會有Google內部人員存取Google Cloud Storage buckets的資料造成資料外洩的風險,因此當有 Google Cloud 管理員存取您的內容時,企業可透過近乎即時的記錄檔深入查看存取活動。
回網路新訊