身處資安威脅不自知?4個遠距前必知的雲端資安防護對策!

身處資安威脅不自知?4個遠距前必知的雲端資安防護對策!

在疫情的衝擊下,越來越多企業開始導入遠距工作模式。但除了硬體設備,資安威脅也是企業在導入遠距工作模式時不可忽視的重要課題!究竟公司該如何檢視自身的雲端資安防護網是否完善?那些對策能有效保護公司的資料安全?以下提供4大防護建議給大家參考。

(本文為專家投稿,作者為 Cloud Ace。Cloud Ace 為亞洲據點最多的 Google Cloud Platform™(GCP)菁英合作夥伴,擁有的 Google 專業領域認證及證照數居亞洲之冠。《T客邦》歡迎各路好手針對擅長主題投稿或是針對數位議題發表自身意見,詳情以及方式請見徵稿頁面。)

內部系統連線:使用防火牆+跳板機

不論您的系統在地端或雲端,如果只開放一個 IP 或 URL 讓大家連線且沒有設定防火牆,那就很容易就被駭客入侵!隨便猜一下密碼就能被攻破。 GCP 有提供無伺服器的防火牆,您可以直接鎖定,只允許員工的 IP 去連線,而不是開放所有來源 IP 都可以連線,因為網路上有很多駭客每天都會跑一些小程式,一天到晚在網路上掃描開放連線的 IP 和 Port,很快就會被找到。

截圖自:Google Cloud Platform Console 頁面。©2021 Google

以上只是第一道防線,更好的方法是使用跳板機。這樣一來,安全性就能提高不少!

Bation_Host 跳板機

跳板機設定建議:

1.只允許員工的IP (或是VPN) 能登入跳板機
2.內部主機不開放外部IP連線,只允許跳板機的IP連線

使用者登入:使用 Cloud IAP + BeyondCorp 

Cloud IAP 是在 BeyondCorp 框架底下的一個重要實做 ,它可以做到連線到網站時就有身分驗證。另外還會確認使用者的情境,例如從哪一個IP連線、從哪一個國家、手機有沒有設密碼等等,最後再放行到應用程式。它管理的範圍真的超級廣,如果公司連裝置都納入管理 (Google Workspace/Cloud Identity 的裝置管理),那就是所有 BeyondCorp 的功能都實現了。

BeyondCorp 與 Cloud_IAP

IAP 的實作細節這次我們先不提,需要的夥伴可以參考《[DDoS大作戰] BeyondCorp實作 – 設定 Cloud IAP 完全封鎖外部異常流量》這篇文章。簡而言之,它可以做到使用者登入內部系統之前,必須再做登入驗證:

Cloud_IAP要求使用者登入。截圖自:Google Cloud Platform Login 頁面。©2021 Google

不只這樣,如果使用 Google Workspace 或 Cloud Identity,還能強制啟用兩步驟驗證,幾乎可以防止外部人員登入系統。

Cloud_IAP搭配兩步驟驗證。截圖自:Google 兩步驟驗證頁面。©2021 Google

延伸閱讀:

資料儲存加密:使用Cloud KMS 

其實 GCP 上的資料,不管是儲存時的加密(Encryption at rest),或傳輸時的加密(Encryption in transit),都已經有內建一些服務來保護你的資料。除此之外,還有所謂的 CMEK(Customer Managed Encryption Key),指的是客戶使用的代管式金鑰管理:Google 的 KMS(Key Management Service)。

Cloud_KMS 雲端金鑰。截圖自:Google Cloud Platform Console 頁面。©2021 Google

KMS 可以讓你在 GCP 上建立自己的 key,讓你存資料時帶 key 進去加密,然後取資料也要帶 key 去解密資料。另外還能夠設定自動換 key,每個月換500個 key 都沒問題。另外,他現在也支援自己從地端匯入你的金鑰,讓 Cloud KMS 幫你保管,幫你給資料加密,不過地端的金鑰你就要自己保護好了。

你可能會想,那能不能自己管 key 呢?當然可以,使用所謂的 CSEK (Customer Supplied Encryption Key)可以讓你用地端的 key 來加密。但是,自己管就不要弄丟 key!key 丟了,沒有人可以救得回來喔!Google 只會放在它的暫存記憶體讓你存取資料時使用,但並不會幫你留 key 在 GCP上面。 

資料傳輸加密:啟用加密憑證連線 

如果你在雲端有資料庫,傳輸時又怕被側錄,那可以使用 Cloud SQL 做為資料庫,它可以設定只允許連線的 IP,也可以啟用加密憑證連線。

Cloud_SQL 加密憑證。截圖自:Google Cloud Platform Console 頁面。©2021 Google

Cloud SQL 會讓你下載三個憑證檔案,這樣一來在使用 Cloud SQL 時,傳輸的資料即使被攔截也無法輕易破解。詳細的做法可以參考《Cloud SQL安全連線密技part1 – 限定IP與強制SSL連線》一文。

Cloud_SQL 加密憑證檔案。©2021 Google

以上四種方法,可以確保使用者登入系統操作以及傳輸資料時的安全,防止外人入侵或側錄資料。而這些功能都可以在 GCP 上找到對應的功能! 

延伸閱讀:

 

================================================

本文為讀者投稿,不代表《T客邦》立場。《T客邦》長期歡迎讀者或是業界專家用文字或是影音來發聲,將你對於科技世界想講的話、想表達的想法傳遞出來,讓更多人看見。詳情以及方式請見徵稿頁面

================================================

讀者投稿
作者

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則