淺談上雲的安全性

資訊安全新知分享

NEITHNET 資安實驗室

  以往企業可能會需要面對機房租用、購買伺服器、購買儲存空間,這些所需的必要花費都會是一筆龐大的金額,加上之前COVID-19疫情嚴峻,使用者幾乎都在家上班或遠端工作,所以漸漸地有不少的企業想要透過數位轉型將資料上雲處理,上雲的好處除了快速地在雲端上佈署操作外,成本也相對較低,更降低擴展至國外的門檻,不需派遣人力到現場建置機房與採購設備,仍可將系統佈署至海外,相對省下不少人力與成本。

  近期台灣知名的租車業者爆發生會員個資外洩事件,對外公開的原因為雲端伺服器未加密保護也無限制IP位置,此伺服器用來記錄內部應用程式log檔的暫存資料庫,但並未設定阻擋外部連線的防護措施,導致遭外部有心人士順利登入該資料庫查詢會員的相關資料,雖然第一時間租車業者已將系統加強資安防護及風險管理機制的相應措施,也強調他們都有定期針對主機做弱點及滲透掃描,交易過程也全程採用SSL加密方式處理,但並未特別針對為何會產生該資料庫資安漏洞的問題有更進一步說明。

  針對此業者雲端安全配置不當問題外,延伸問題可以探討的是大家都在往上雲的方向走,雲端安全及架構配置就顯得相當重要,不只是單純將舊有工作模式搬移至雲端,而是利用雲端的特性整合舊有的架構及重新規劃;在安全性的部份則採用單一登入或是搭配多重要素驗證(Multi-factor authentication, MFA),控管登入各系統的帳號權限,把權限劃分的更細,避免單一人員權限過高,且也需要將企業內部資料、隱私、資料庫加上存取權的限制,藉此保護資料的安全。

  上雲是目前數位轉型的趨勢,但上雲前必須先做好整體規劃及人力配置,其中,最大的重點為管理雲端的人員是否具備足夠的雲端管理能力及相關知識,如此一來,才能確保上雲不會成為有心人士趁機利用的缺口。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *