雲端運算的合規與其資安政策
不論企業在雲端中要做些甚麼,第一個目標就是保護在雲端中的企業資產。CSP只提供工具給我們,但我們要知道甚麼情況下使用它,以及如何使用它。哪麼第一步便是列出我們在雲端中需要保護的數位資產清單,再來對其分出優先順序。現今有非常多的安全準則(或說是合規)可供企業參考,如PCI-DSS或HIPAA等。本文中將介紹在雲端運算中使用最多的CIS(Center for Internets Security)。
在本文中,我們探討甚麼是安全框架以及它為什麼是定義企業在雲端上的安政策的起點。我們也將會討論在雲端上我們需要保護甚麼。再來我們會如何針對三大公有雲(AWS/Azure/GCP)採用CIS Benchmark以及怎麼實行它。還有甚麼是安全治理與管理。最後我們將介紹甚麼是CSPM(Cloud Security Posture Management)。
本文的要點如下:
- 資安政策的理解
- 資安框架的理解
- 理解安全性和合規性的動態
- 定義基準的資安政策
- 資安政策的實行
- 在AWS/Azure/GCP上實行資安政策
- 資安政策的治理與管理
- 運用CSPM管理風險
資安政策的理解
在建立地端機房時,我們通常通需要做各項機房的進出管控。這一部分的管理ISO 27001的ISMS的機房進出控制項最為詳細。接下來就是針對IT環境內的各項系統與各項資料進行存取控制。以上這些是地端機房的日常安全控制行為。
在雲端世界中,絕大多數的企業都把雲端當地端用。看看IT Home這一篇報導就知道了。這麼大的公司,在採用時沒有做任何的功課或人員的教育訓練。就直接使用了雲端,這其實是非常危險的事。企業在採用雲端運算時必然有一套決策流程的評估需要進行。有關更多的雲端採用評估,請參閱本部落格CAF雲端採用框架比較 — Part 1一文。
嚴格來說,三大公有雲的本身的資安做得絕對比世上大多地的企業還要好。除了有一大堆的資安驗證與認證比一堆企業還要多之外。另一個最大的原因就是信譽問題,如果CSP本身的資安都沒做好,客戶一定跑光光。但這並不意味著客戶(一般使用雲端的企業)就沒有任何責任。因為CSP提供了武器與彈藥(一堆資安工具與解決方案),客戶需要知道怎麼使用它們來保護自己在雲端中的資產。企業需要在雲端中建立並執行我們的資安政策,仔細考量並強制執行。
資安政策的基礎,基本上就是C.I.A(Confidentiality/Integrity/Availability)這三件事。資安政策本身在技術中沒有太大的關係。政策(Policy)僅僅只是定義資安原則於它是如何保護企業的資產。資安政策定義了企業的資產在甚麼樣的功能與條件需要甚麼等級的保護。
資安框架的理解
資安政策與隨之而來的資安原則不是各自獨立的。企業通常通需要遵守各自產業內的資安框架。一般來說分為兩種,產業中必須遵守的與最佳實踐。例如健康照護產業的HIPAA或金融業的PCI。這兩個的目標都是保護顧客的個資。雲端架構師必須理解這些框架,因為這些框架會型朔企業系統的成形。
另外一種資安框架的最佳實踐為ISO或NIST所規範的。如果是專門針對雲端的安全實踐則屬CIS。有關如何產業資安框架(或也可以說是合規標準)如何在雲端中運用的介紹,請參閱本部落格雲端平台的組態管理一文。
幾乎所有的公有雲都採用CIS作為它們資安的benchmark,而它也是國際上對於Cybersecuity認可的標準。這是因為CIS海納百川的融入許多產業的的標準或其他的資安最佳實踐,如ISO, NIST, PCI與HIPAA。CIS提取了這些框架的原則,但不是意味著全部實踐在CIS的控制項中。CIS的使用有時需要看個別的公司狀況,甚至是個別的環境。
基本上CIS控制項分為兩個等級:
- 不會對系統(或workload)與服務造成功能上的影響
- 會造成系統(或workload)與服務的功能影響
總體來說,CIS所提供資安框架是基於最佳實踐而來的。這些最佳實踐可以在三大公有雲上進行實際的設定,進而強化我們在雲端上的安全。
CIS在CSP的功能中提供以下的資安建議:
- IAM
- Storage account
- DB service
- Logging and Monitoring
- Networking
- VM
- Application services
理解安全性和合規性的動態
資安政策與合規是兩件完全不同的事,不過它們卻又彼此相關。因為合規會創造出企業的資安政策。我們將在後面繼續探討。
哪麼甚麼是安全(Security)呢?原則上來說,所謂安全就是要保護"企業的資產"與"系統中的使用者"的所有相關活動。而活動可以定義三種的安全控制項(Security Control):
- 實體面
- 技術面
- 行政面
在雲端中,我們不需要考量實體面的。因為哪是CSP的責任。我們(也就是一般的企業)需要注意的是另外兩種,像是安裝防毒、antimalware等軟體,這些是技術面的。行政面的就程序、流程等。
如果我們有做技術面與行政面的控制項,哪麼我們可以達成合規。但是這些控制項必須契合雲端的使用標準與法律,而且可能還因為不同的雲端機房位置需要遵守不同的法律與規則。像是GDPR是屬於歐盟的合規要求,而HIPAA則屬於美國醫療照護產業的要求。
簡而言之,雲端的安全性和合規性是任何企業 IT Infra的兩個重要面向。 確保企業的資料和系統安全並符合相關法規對於保護企業及其客戶至關重要。問題是,雲端可以讓企業的IT Infra更安全嗎?答案是Yes or No。從ITIL的角度來看,使用外部廠商的服務,可以讓企業減低一些風險增加一些效益,但是同時也導入了一些新的風險。
雲端的安全性與合規性之間的關係是動態的,同時也是至關重要的。 確保企業的資料和系統安全並符合相關法規對於保護企業及其客戶至關重要。 通過詳細評估CSP的安全措施和合規性(如有沒有SOC2與PCI DSS的認證)的保證並實施企業自己的控制項,我們可以確保企業的 IT 基礎設施是安全且合規的。
定義基準的資安政策
使用雲端通常很簡單,只要按幾滑鼠鍵,一台VM就跑起來了。但是一個企業,無論是遷移機房到雲端或是新系統要在雲端中建立,企業都需要思考非常多架構面的事。而第一件事就是企業如何安全的使用雲。不論使用哪種雲端服務模型(IaaS/PaaS/SaaS),當企業在雲端中的環境成長越來越複雜時而缺乏可見性時,就會導致漏洞的產生。不論企業使用哪一種雲端服務,企業必須先確保一件事 — 哪就是雲端服務的使用必須符合企業的基準資安政策。
以下是企業是會建立其資安政策與其基準的步驟:
- 監管法規:
每間具有規模的企業或多或少都有法規需要遵守。可能是政府的,也可能是產業的,或許兩種都需要,尤其高度監管的產業有更多法規需要遵守。為了讓我們(雲端架構師)更了解這些法規面的東西。我們需要與內部的法務部門與稽核單位通力合作。因為這是企業使用雲端的起始點。 - 確認CSP使用了那些資安框架。三大公有雲符合了非常多的資安框架。就如同前面說的,這些大型的公有雲業者拿的資安認證比一般企業多非常多(小型業者就不敢說了)。
- 限制存取:
這就是現在大家常在說的零信任(更細緻化的存取管理),但使用的還是RBAC模型。 - 網路保護:
公有雲最常使用的連線方式就是網際網路。該用那種連線方式?需要加密嗎?還是用專線?用甚麼協議?雲端內的網路需要區分嗎?這一些都是問題,需要被解決。更多的雲端網路設計可參閱本部落格多雲環境的網路連接設計一文。 - 邊界保護:
雲端的邊界需要怎麼樣的保護。可能是Firewall或CDN或Load balacning等外加WAF與DDoS功能的。 - 內部保護:
內部系統受到邊界保護(如Firewall)外來攻擊後。內部的保護應該要怎麼做。系統補丁、修改程式的bug還是修正配置檔的錯誤等。 - 定期的稽核:
此一步驟在資安政策中通常都沒有做得很好。資安政策需要經常被評估與檢視,因為在雲端中的各種變化率非常高。駭客在網路上不斷掃描我們雲端的漏洞,任何一個剛產生的漏洞都會讓駭客有可趁之機。
企業也需要為資安政策定義出一個範圍。一種常用的方法是用縱深防禦的思維來設計企業的資安架構。每一個層次都會使用特定的保護措施來防禦特定的威脅。這些資安架構的層次如下:
- Network —
如前面所述,這一類的防護非常多。除了前面提到的之外,還有IDS/IPS/PKI這些內部的保護措施。網路分段加上零信任的概念。 - Platform —
這是指OS(作業系統)。OS需要做哪些資安作業相信在看文章的您可能都比我熟悉更多。 - Application —
這裡指的不只包含code本身,還有middleware與API。至於code的動靜態掃描稍甚至是code的完整性,具規模的企業都會執行這些作業。 - Data —
這是現代駭客的終極目標。也是所有雲端平台業者都不會負的責任。企業必須為自己的資料負責,因為企業才是雲端上資料的負責人。至於資料在保存與傳輸過程中需要的基本加密則是基本功課。 - Response —
這屬於資安的監控,如SIEM系統。現在的SIEM系統還配備了SOAR(Security Orchestration, Automation, and Response)功能。
企業的資安政策必須被定義與套用在這些層次上。而以下則是針對資安政策的一些最佳實踐:
- 存取:用指定帳號的方式來存取系統,包含just-in-time access。尤其是特權帳號的管理,實行RBAC模型與多因子驗證。
- 邊界防護:預設的設定應該是block all,也就是白名單管理方式。
- PKI:以公/私鑰的方式來辨識使用者,而不是用password的方式。重要的是保護key vault。
- 日誌記錄和稽核追踪: 很重要、很重要、很重要。所以要說三次。
資安政策的實行
定義好了我們的和規與資安框架,並且由此產生資安基準後。接下來就是在我們的雲端環境實行它。我們將會使用CSP的原生資安平台。如同之前所說的CIS是國際通用的資安基準最佳實踐。所以我們會使用CIS Benchmark來套用在這些CSP的原生資安平台上。CIS不只提供建議,同時也文件來說明政策如何實行的。
Azure — Microsoft Defender for cloud
首先,我們必須了解什麼定義了政策,這基本上也是適用於其他CSP的原則。 一個政策會定義:
- Mode:
說明將根據政策會評估哪些資源類型 - Parameters:
這是設定政策將會怎麼做,例如:是allow or deny - Policy rule:
規則的呈現通常是 if-then的語句。如果符合特定條件,哪相應的特定行動就會產生。 - Effect:
當政策實行之後的的成果是甚麼
Microsoft Defender for Cloud在Azure的基本版是免費的,每個subscriptions的儀表板資訊都是獨立的。當我們一開始啟用Azure的資源時,該項服務的基本版就已經啟動了(不用安裝任何東西)。當我們的資源開始運作,我們就可以在該項服務看到Defender給我們的兩個資訊:
- 建議我們正在使用的資源可以強化的資安作為
- 我們正在使用Azure各項資源中的安全態勢
CIS 列出了一些針對Azure security center的建議。 但這需要起啟用Azure security center standard pricing(這是要錢的),這樣可以對我們在Azure中所有網路和VM進行威脅檢測。 每項 CIS 實施政策的建議都附有解釋。
而Azure的資安三個產品(Defender, Sentinel與Security center)的關係如下圖:
這三種產品的不同之處與關係可參閱此篇部落格文章。
AWS Security Hub
這是AWS從AWS的其他監控或日誌服務(如CloudWatch/CloudTrail)的資料彙總,進而產生一個單一儀表板。但它也可以從GuardDuty, Inspector, Macie, IAM Access Analyzer與Firewall Manager等服務收集日誌資料。不過,CloudTrail在Security Hub是主要引擎。CloudTrail會持續監控使用者在AWS內的合規行為。CloudTrial也同時執行一般性稽核與風險稽核。
我們從上圖中可以看到AWS Foundational Security Practices與CIS AWS Foundational Benchmark預設是勾選的,PCI DSS則是金融產也需要的。
上圖的下半部則說明Security Hub會從那些AWS服務收集資料:
- GuardDuty: 威脅偵測功能
- Inspector: 合規偵測工具
- Macie: 偵測我們儲存在S3的資料安全與資料隱私
- IAM Access Analyzer: 這是分析在AWS的帳號在AWS環境的存取中是否合規
- Firewall Manager:所有在AWS Firewall的中控台
雖然我們在啟用Security Hub也同時啟用的CIS的最佳實踐,不過,對於AWS,CIS列出了一些我們在AWS設立資安政策的一些建議:
- CloudTrails在所有的Region都有啟用
- CloudTrail log file validation是啟用的
- 存放Cloudtrail的log file在S3不是設為公開的,另外所有存取CloudTrail log file的紀錄功能要被啟用。log file也需要被加密 — 使用AWS KMS-CMK(customer master key)功能
- KMS的key rotation要啟用
- AWS Config服務在所有Region都有啟用
- VPC flow logging在所有的VPC都要啟用
GCP Security Command Center
我們可以在Security Command Center執行所有GCP相關的安全設定。並且從該服務的儀表板中檢視目前的合規狀態。它的概念與AWS Security Hub有一些相似,但資料檢視的程度比AWS高很多。Security Command Center的DLP功能可以讓我們檢視PaaS 資料庫(如Cloud)內的資料。
CIS建議需要啟用以下的設定以稽核我們在GCP的資安政策:
- Cloud Audit Logging是有設定到project內所有的服務與使用者
- 所有的log entries有設定sinks(指所有的log資料都會副本)
- 存在於log bucktes的policies必須啟用Bucket Lock功能
- 確保針對project ownership 授權和變更存在確保針對project ownership 授權和變更存在log metric filter和告警log metric filter和告警
- 確保針對audit configuration變更存在著log metric filter和告警
- 確保針對custom rolechnage存在著log metric filter和告警
- 確保針對VPC Network Firewall rule change存在著log metric filter和告警
- 確保針對VPC Network Route chnage存在著log metric filter和告警
- 確保針對VPN Network chnage存在著log metric filter和告警
- 確保針對cloud storage IMA權限變更存在著log metric filter和告警
- 確保針對CQL insatnce configuration變更存在著log metric filter和告警
資安政策的治理與管理
實行我們的資安政策之後,接下來就是治理與管理了。資安政策的治理分為兩個等級:
- 根據企業必須遵守的合規性框架對資安政策進行稽核
- 資安政策的技術性實施,保持最新的監控,並確保所有雲端資產確實根據政策進行追蹤
第一個等級通常是CISO需要負責的。CISO需要對其資安政策設立方向並公司業務是合於資安策略,產業與公司框架。CISO同時也負責確保內外部的稽核管理。資安治理會訂製出資安政策。
第二級就屬於資安管理。這是要知道如何在整個IT環境中處理資安風險,包含雲端環境。資安管理就屬於技術實行並強制政策的實現。所以資安人員應該要知道怎麼在CSP雲原生的資安工具上設立規則,也要知道這些系統產生告警後要做些甚麼。
運用CSPM管理風險
CSPM(Cloud Security Posture Management)是一種可以強制讓我們的雲端環境處於合規狀態的工具。它的主要功能有:
- 偵測雲端的misconfiguration
- 自動修正misconfiguration
- 針對不同的configurastion與服務有最佳安全實踐
- 基於security control framework與合規標準檢查雲端環境的狀態
更多的CSPM介紹,請參閱本部落格雲端平台的組態管理一文。
