目前,市場上最炙手可熱的題目,可以說是雲運算和流動運算,兩者皆可說是大勢所趨。但是,雲運算的保安問題一直受到廣泛關注。流動運算則包含眾多流動平台,也上難以控制連接,風險也更擴大。
最近調查顯示,Symantec在全面泄露防護(DLP)佔有領先優勢,Symantec總裁兼行政總監Enrique Salem亦於Vision用戶大會上表示,流動運算令IT保安必須支援更多不同運算平台,這些平台亦有機會感染病毒,敏感資料外洩風險也大增。Symantec公布推出數項新產品,針對雲運算和流動平台兩大IT趨勢。
保安觀念隨流動運算改變
Symantec企業信息安全部門高級副總裁 Art Gilliland表示,傳統上,用戶只要以用戶名稱及密碼,就可以登入系統。從系統負責保安主要任務,隨著用戶使用平台愈來愈多,存取地點又分散,單靠密碼遠遠不足保障資訊安全。
「近年IT保安概念的最大轉變,從單靠系統層面保護,轉換至管理身份認證和資訊層面。」二OO五年始,Symantec的多宗收購,已集中於身份認證和資訊保護,以應付分散的保安環境,保安政策可隨時間地點而變,按用戶不同設備、所處地點、存取資訊,甚至登入時間,均影響認證和授權方式。」
流動電訊帶來多項保安隱憂,業界已提出多項方案應對。除了加密技術,又有雙重身份認證,通過Token鑰匙產生單一次的密碼,進一步確定用戶身份。Symantec也為流動平台加入了防止數據泄露(DLP)技術,令企業數據保護策略更加完整。
保安準則隨處境而變
去年,Symantec先收購PGP和Guardian Edge加密技術,保護流動數據,其後又收購VeriSign的保安業務;再加入雙重(Two factors)身份認證技術。Gilliland表示,除了身份認證以外,保安政策能夠隨用戶的處境而變化,也是重要趨勢。
二OO七年,Symantec也購入Altiris,加入集中管理IT資產能力,集中管理分散設備如筆記電腦。Gilliland表示,Symantec具備管理個人電腦生命周期的經驗和產品,可確保不同平台數據保安。他深信,即使流動運算增加了新的運算平台;管理流動設備的過程和工具,跟保護PC非常相似,很大機會由相同團隊負責,Symantec也順理成章,伸延保護PC的產品,幅蓋至流動平台。
「所謂處境(Context),包括了用戶所在地點和連接方式。Symantec組件知悉用戶位置後,例如是否身處企業防火牆內,或從外間以VPN遠程接入,再按接入時間和地點,決定請求認證身份的方法,再套用適合保安政策,作不同程度保護。」
舉例說,IP來自可疑地區,例如俄羅斯或未有業務往來的地區,登入時間又甚不尋常,即使用戶提供了正確密碼,系統仍會再查詢其他細節;如出生日期和其他個人資料,進一步確定用戶身份。
率先保護iOS平台
Symantec也計畫推出防止平板電腦數據泄露的解決方案;其「平板電腦數據保護」(Symantec Data Loss Prevention for Tablet)為業內首個監控及保護平板電腦敏感數據的方案,並率先應用於蘋果iPad上,稍後推出Android版本。系統自動識別平板內的資料,監控數據的傳輸;所有iPad上傳輸,均經企業閘道先行過濾,辨識須保護敏感數據。
愈來愈多敏感數據,皆屬於非結構數據,以往最簡單方法是以描述式(Describing),例如以關鍵詞、某種檔案格式,界定機密文件種類。另一種方法是指紋式(Fingerprinting),為不同文件;如Word、Excel和PDF檔打上指紋,確定敏感的程度。但是,隨著非結構性數據迅速增長,近期興起以Vector Machine Learning(VML)技術,通過機器自動學習數據,如下載來源和使用性質;分級界定屬機密敏感程序。這種技術以多種不同基準,自行判斷數據的屬性,可說第三代的DLP,Symantec以內容識別(Content awareness)來形容上述技術;好處是既保護了敏感數據,也不妨礙平板用戶的私人操作習慣,也毋須大幅改動現有基建。
「基本上,一旦系統確定有關資料為敏感數據,就無法以任何方式,從平板設備上抄走數據;無論以電郵、FTP或傳送社交網絡,均無法送出資料。此舉可大大減低用戶因一時大意,錯誤送出了敏感資料。」
Symantec也公布了iOS專用的PGP Viewer,使用PGP Universal Server的企業用戶,可以利用iOS上閱讀加密資訊,防止傳送時遭竊閱。
O3保護公共雲SaaS資料
Gilliland又指出,雲運算也為企業帶來新的保安風險;例如用戶直接登入了不同公共雲服務,管有不同賬戶和密碼,缺乏中央統籌和管理。僱員離職之後,往往可能遺漏刪除某些權限,結果出現漏洞。Gilliland說,Symantec正研發新產品O3,代號為「Ozone」風險管理方案,比喻o3有如臭氧層保護地球,堵塞了公共雲服務的保安漏洞。
「目前使用Salesforce.com或者是Concur多種公共雲的解決方案,用戶可從不同地點直接登入服務。首先是缺乏統一登入管理,不同用戶名稱和密碼分散,員工離職後又可能忘記刪除權利;其次公共雲與用戶之間數據加密,登入後行為無從知悉,甚至何時登錄,均無法控制,也無從確保符合法規的要求。」
Ozone利用類似Proxy原理,用戶不再直接登入公共雲服務,會改先登入Ozone代理伺服器Proxy,再經由代理伺服器再登入公共雲服務。Ozone會加密用戶與公共雲交換數據,除加入統一管理身份證認,也嚴密監控,甚至紀錄操作公共雲的整個過程。
Gilliland表示,目前o3已經 Beta試驗階段,支援一百五十多種公共雲服務,不會對性能構成重大影響。首階段是集中管理身份認證;其次可更精確管理用戶存取資料,最後階段可鉅細無遺紀錄整個操作過程。
Ozone只過濾用戶與公共雲之間交換的數據,不影響其他私人上網活動,預計二O一二年推出,可部署於防火牆DMZ區,不影響其他網上作業。
Gilliland解釋:「不少企業的所有上網活動均經Proxy,故此以Proxy來過濾公共雲,預計不會嚴重降低傳輸性能。」
香港中華電力有限公司實施了Symantec的DLP方案,加上流動保安卓有成效,獲得了Symantec的「傑出用戶獎」。中電的集團資訊總監羅建昊(Joe Locandro)說,中電有大量客戶私人資料必須保護,除了系統,中電也加強訓練教育,令員工明白資料保安的重要性。
「保護客戶資料是中電的最重要責任,故此中電設定了嚴格權限,確保客戶資料絕不會離開公司的範圍。」
「中電有不少員工流動工作,甚至有時留在家中,管理流動數據甚為重要。儘量雲運算有其優點,亦帶來一定隱憂。中電建立了本身雲運算平台,提供仿如Dropbox等的應用,流動設備亦有清楚政策,訂明可儲存資料和安裝的應用,再配合用戶教育,確保客戶資料不因一時大意外洩。」
羅建昊表示,DLP技術固然重要,不過須配合嚴密程序和教育,才成為完整的IT保安策略。
沒有留言:
發佈留言