This page looks plain and unstyled because you're using a non-standard compliant browser. To see it in its best form, please visit upgrade to a browser that supports web standards. It's free and painless.

雲端運算與網路安全趨勢 會員登入 會員註冊

 

作者:Dave Asprey(趨勢科技雲端安全副總)

在過去的15年裡,我替發明資料中心代管模式的公司撰寫了第一份的服務層級協議(SLA),而且我帶領兩家使用傳統企業許可條款的公開上市IT軟體和硬體公司遷移到基於用量的定價模式。過去的經驗讓我非常瞭解大型企業如何看待IT採購,以及雲端服務供應商如何看待服務提供。

Cloud5

很遺憾,這是一個沒有太多重疊部位的范氏圖。當大型企業考慮遷移到Amazon網路服務(Amazon Web Services~AWS),這裡有三件你需要記住的事情。

1.    你的法務部門不會得到所想要的東西。

在雲端運算初期,服務層級協議曾經是可以討價還價的東西。雲端服務供應商重複提供完全相同的服務才能夠獲利,提供每個客戶不同的服務層級是無法重複或擴展的模式。

因為服務層級協議在大型IT的外包合約裡一直是可以商量,大多數大型企業的法務部門認為有空間來和AWS制訂和協商SLA。但其實並不行,這種要求只會減緩你的AWS部署,除了挫折感外並無法得到任何結果。

與其只是碰釘子,不如去研究AWS所提供的額外支援服務。這些可以解決許多相同的問題,不過在標準套件中可能只需要一個點擊。

2.    你的採購部門不會幫上忙。

在大型企業中,採購部門通常會加入探判。這在大型企業裡運作得很好,因為探判專家往往比IT主管來得專業。除非是跟牆壁對談,在這種情況下,採購部門的談判專家只會拖慢專案的進行。

AWS的價格透明公開且標準化。有傳聞堅持某些非常大的公司成功地協商出好價格,但我相信這些都只出現在AWS的最早期階段,在今日並沒有出現在很多公司…如果真的有的話。即使你喜歡AWS產品,你的採購部門可能會拉住你,要你考慮別的產品,這樣談判專家才有事情可做。

只是要記住,AWS有定期更新定價的習慣,而且當它更新時,通常會朝向一個方向…往下!事實上,自2006年以來,AWS已經出現過38次的降價…當你考慮其他產品時,要記得這一點。

3.    你的財務長會窒息。

大型企業的ERP和財務系統通常假設你會購買伺服器並在資料中心的某處租用空間。這些要不是資本支出就是每月固定的長期運作成本。可預測的數字對財務主管來說比較令人放鬆。

不可預知且基於用量的定價模式往往打破了靜態的業務流程,讓財務主管緊張的咬指甲。不幸的是,雲端服務供應商在這裡幫不上忙。企業會越來越習慣不可預期且基於用量的定價會佔IT預算裡越來越高的比例。

記得要有耐心的與你的財務團隊合作。遷移到雲端環境是種對IT的調整,它會讓財務方式完全改變。同心協力最終可以提供給大家一個更好的工作環境…並且讓挫折感降到最低。

 

@原文出處:Three things large enterprises should know about getting started with Amazon Web Services

 

作者:Dave Asprey(趨勢科技雲端安全副總)

企業邁向雲端之旅的第一步看來已經完成了。證據就是今天很少企業用完全非雲端的方式來運行他們的基礎設施。回首過去幾年,第一步明確的動機通常是為了削減成本和效率考量。

如今,雲端運算已經成長。最近一項來自牛津經濟學院和IBM的調查訪談了802位跨越24個產業、IT組織之外的決策者,關於他們使用雲端運算的動機。結果令人驚訝:

「有五分之一的組織發現了一個讓競爭差異化的秘密來源。這讓他們可以用新方法為客戶提供服務和重新構想商業模式。有助於從資料中找出有價值的見解和改變他們做決定的方式…它有助於…比其他組織更快地讓收入和利潤成長。」

Cloud1

換句話說,企業一開始是為了省錢,但卻發現了其他更重要使用雲端的理由。而其他高階主管也都注意到了。

也許這次調查裡最讓人印象深刻的是,雲端運算的戰略重要性對非IT決策者(像是執行長)來說增加了超過一倍,從34%至72%。事實上,如果你是一般的IT高階主管,雲端運算的戰略重要性大約排在58%,你的執行長可能比你更認為雲端具備戰略價值。

這並非新故事。如果你曾在1990年底待過IT部門,你可能會記得當你的行銷長未和你商量就簽下虛擬主機和電子商務的外包合同有多麼令人討厭。今天會再次發生的風險不高,但你今年會很驚訝地發現你的高階管理團隊可能會向你要求更多的雲端,而非減少。

這是你IT職場生涯的好消息。已經有好些年了,IT部門一直都是成本中心,但其實它具備有戰略價值。如果這調查可信,未來幾年將對IT人員和已經踏入雲端的高階主管大有好處。

 

@原文出處:Why did you go to the cloud in the first place?

 

現在其實很難確認一個雲端服務是否停擺。它可能只是短暫中斷,但快取和其他系統會接手,這通常是看不見的。如果你的雲端應用程式可以使用,並提供服務給你90%的使用者,但其他10%沒有,這服務是活著還是掛點了?有介於兩者之間的嗎?

Cloud4

有時,它是行銷或服務水平協議方面技術性的問題。而其他時候,它是媒體的問題。拿微軟Azure停擺為例子。微軟公共雲內運算部分的管理功能有問題。大概有24小時的時間是一團混亂,IT部門受到了影響,而且之後仍然餘波震盪一段時間。

對於我這樣大半職業生涯都在雲端上的人來說,當我看到新聞時所想到的第一件事就是,「我很高興那不是我。」然後我問自己,「客戶可以做些什麼,好在這樣的故障下保護自己?」

架構上,我知道要建議完全備援系統,最好來自不同的硬體或雲端服務供應商。但作為實用主義者,卻也很痛苦的知道只有少數客戶有這樣的預算或耐心來實現這樣的系統,世界正在將他們拉到單一雲端服務供應商,而且它本身可能依賴於特定硬體供應商。

因為當IT部門要向財務長報告時,總是會有在經濟跟風險之間抉擇的問題。今天,完全可以備份到不同的公共雲供應商,甚至有待命的虛擬機器。你甚至可以讓你的資料或應用程式的備援放在不同的基礎架構即服務(IaaS)供應商,或是從一個平台即服務(PaaS)供應商故障轉移到另一個。

這裡只有一個小問題,就是這樣做很花錢。

二十年前,討論圍繞是否要將預算翻兩番來做鏡像伺服器。今天也面臨差不多的問題,要做鏡像雲端。情況並沒有太大改變 – 你只能在該系統非常關鍵且資料很有價值時才會決定這樣做。在一般情況下,因為進入雲端的首要原因就是要降低營運成本,好的生意決策是依靠單一的供應商,然後讓他們自己做好備援。

多重雲端的問題比簡單的鏡像伺服器還困難,原因是不同雲端供應商有不同的政策、程序和管理制度。這意味要維護安全性來橫跨不同的備援雲端供應商,使用許多傳統而來自「舊世界」資料中心的安全產品,這可能會相當痛苦。

解決的方法是將安全系統和其管理分開,這樣就可以用單一政策在不同的雲端管理安全性。好消息是有安全公司將這件事當成優先事項,包括趨勢科技和它的Deep Security平台,客戶可以實現備援的運作要求而無須影響到安全性。

@原文出處:How do you know if your cloud is actually down?
作者:
Dave Asprey(雲端安全副總裁)

 

作者:Dave Asprey(趨勢科技雲端安全副總)

哇嗚。Gartner說:「雲端運算的使用在不斷地成長中,到了2016年,這成長將會增加成大宗的新IT支出。」更妙的是,他們預測,「2016年將會是決定性的一年,私有雲開始讓位給混合雲,並且有近一半的大型企業會在2017年底部署混合雲。」

Cloud

 嗯,那這裡面有多少屬於雲洗白(cloudwashing)?這在今年已經變得越來越常見到,將傳統IT產品重新用「雲端」命名。我很肯定我的烤麵包機也具備有雲端功能。但如果你撇開炒作,Gartner是真的專注在企業支出上,因此讓我們假設這大數量的成長中,只有極少數比例來自被錯誤分類的傳統IT產品。

我完全同意這些看法,將會有更多的IT支出在兩年內放到雲端。許多我所談話過的企業已經不再將應用程式放到自己私人資料中心擺在第一位。他們只有在有很好的理由不將其放到公共雲時才會這樣做。在兩年前,安全性會是個好理由,但到了今天,已經可以用同一套安全系統(如趨勢科技的Deep Security)來從同一個主控台來管理混合式的架構,包括公共雲和私有雲等元素,所以安全性問題現在已經可以被解決。另一個事實是,大多數私人資料中心也都在運行私有雲,所以當你將公共雲和私有雲的支出混在一起,當然它會佔一半以上,就如同Gartner所預測的一樣!

Gartner還精確地預測混合雲部署將會出現在一半的大型企業裡。但我並不確定大多數企業是否會將其稱之為混合雲。混合雲這名詞太過籠統,幾乎任何現代的公共雲部署,在任何狀況下連接到企業資料中心都可以稱之為混合雲。但如果透過合作夥伴所提供的軟體即服務(SaaS)和平台即服務(PaaS)產品來連結三個不同的公共雲又該稱為什麼雲?我們只能說這真的很複雜。

企業應用常常會變成這樣,這也是為什麼你可以得到一個關於電腦資訊系統的學士學位。雲端並無法改變這狀況。

 

@原文出處:More than half your IT spend is going to be cloud by 2016

 

作者:Dave Asprey(趨勢科技雲端安全副總)

當大多數IT專家談論到雲端運算,他們會想到基礎設施即服務(IaaS)或平台即服務(PaaS)。不太容易去想到的是,有很大比例的IaaS是用來推動軟體即服務(SaaS)產品,而SaaS本身占了雲端運算市場的最大部分。

Cloud5

David Linthicum在InfoWorld上引用了一篇Capgemini的報告,顯示雲端運算市場規模從2009年的174億增長到2013年的442億。而有趣的是,SaaS的市佔率也從69 %降低到58%,歸因是由於IaaS的成長。

我並不同意。現在越來越難去將一個應用程式歸類到一個特定類別。如果它依賴其他幾種雲端技術,那它是軟體即服務,還會變成混合雲?如果它被銷售為基礎設施即服務產品,但管理是靠軟體即服務呢?你的內容傳遞網路(CDN)是基礎設施即服務產品或軟體即服務產品?我也不知道。

而我馬上浮現到腦海裡的是趨勢科技Deep Security產品。它非常的具有彈性,讓你能夠從自己的私有雲、公共雲或趨勢科技所代管的服務上來執行管理主控台。它可以管理橫跨實體伺服器、虛擬機器、私有雲和公共雲上的安全性。你可以基於使用量(即SaaS)來計費,或是實行企業合約。

你告訴我 – 這是SaaS產品?或是IaaS?不管是什麼,它都有一定的規模,而且越來越成長,而且它並不是簡單的SaaS/PaaS/IaaS,這我們在2006年所發明的層次架構,用來解釋我們自從代管和應用服務供應商(ASP)在1997年崛起後所做的事情。

你雲端策略所該做的是不要太關心某個東西是否在這三個類別之中。相反地,要注意你該如何進行管理,以及你要如何付費。這將會讓你從戰術決定前進到戰略規劃和實施。

@原文出處:What is really driving the massive growth of cloud computing?

 

趨勢科技在拉斯維加斯的 Gartner 2013資料中心大會上談論我們對於未來防護資料中心的願景。正如你在日常的工作裡會發現,資料中心以飛快的速度在進化著,許多單位都擁抱著伺服器虛擬化,還有雲端運算都是資料中心的延伸。當然,這些改變也為IT團隊帶來許多挑戰,同時也帶來很好的機會。想要能夠正確的保護這些新的環境,資安和營運團隊必須相互合作來達成目標。這代表的意思很簡單卻也非常重要:負責這個新的環境,你可以實現比過去更好的安全性 – 更容易稽查,更易於管理,並且對於靜態安全架構有巨大的營運優勢。

Cloud1

今日的資料中心看起來非常不同

毫無疑問的,同質伺服器環境已經是過去式。根據 Gartner的報告,伺服器的工作負荷在2016年會達到驚人的71%虛擬化程度,企業會考慮那些宣傳所提到的各種好處,像是降低成本、提高企業效率和提高靈活度。客戶也會選擇部署到雲端環境,所以像亞馬遜網路服務(AWS)以及其他類似服務都呈現巨大的成長。目前的挑戰是,不能簡單地將傳統工具重新部署到虛擬或雲端環境,並且如預期地運作。新一代資料中心需要新的防護方式…讓我們來看看一些環繞在資訊安全的新動態。

駭客是門生意

 趨勢科技一直在監視著網路地下世界,有四分之一個世紀之久,並且建立起一個我們自信相當準確的敵人資料庫。想侵入你資料中心的人都有足夠的動機,充足的資源,組織力和差異化。總之,網路犯罪已經走向商業化。

 網路犯罪已經從根本上變成一門生意。模仿一般的商業世界,發動攻擊所需要的資料、工具和資源都可以在網路地下世界進行買賣。只要你有足夠的錢以及知道可以去哪裡找。

跟一般的企業一樣,成功讓網路犯罪份子更加專注和專業。就像Malcolm Gladwell在2008年的暢銷書 – 異數(Outliers),他們經過一萬小時的努力取得成功。攻擊的每一個面向都經過測量、分析和最佳化以取得最大的投資回報率。

我們要怎麼前進?

所以,當我們轉移到虛擬環境和雲端環境,我們面臨著多重的挑戰。營運和資安部門需要更加地共同努力來實現業務目標。駭客不斷地試圖竊取你的資料和想要入侵資料中心。那麼我們該如何應對呢?

負責檢視下一代資料中心防護方式的作法跟過去傳統防護資料中心的作法一樣。安全防護需要可以無縫地跨越實體、雲端和虛擬環境 – 在同一時間,同一介面,使用相同的控制。下一代資料中心有著簡化管理,提升稽核能力,並真正實現對敏感資料和應用程式做到更佳防護的機會。有意思的是,下一代資料中心會和安全防護更加合作無間 – 包括改進啟動時間,節省CPU處理能力,擴充性和穩定的效能 – 這讓資安和營運團隊終於可以一起哼著勝利的曲調。

@原文出處:Taking charge to secure the next generation data center 作者:dsmeaton

 

作者:Mark Nunnikhoven(趨勢科技首席工程師)

所有的影片都已經上傳到YouTube,有一大堆精彩的內容等著你去看。也正因為這樣,想看完全部幾乎是不可能的任務。

Cloud

但別怕,我在這些講座裡潛水了好一段時間,選出了我最喜歡的幾段。下面是我心目中的前五名,加上我覺得你會感興趣的原因:

1.    由一到多:進化的VPC設計

VPC是個很大的題目。有許多種可能的設定。看看來自AWS的Robert Alexander介紹幾個真實環境的設計,從簡單到非常複雜都包含在內。這場講座是400等級(ARC401),可以預期有相當高的技術程度。

通過VPC服務來了解可用選項是成功部署的關鍵。學習到有哪些可能性,以及更重要的,現實世界裡有什麼可以幫你成功的跳到雲端部署。

最起碼要看完簡報資料。不過幫自己一個忙,花一個小時的時間來看看這段影片

2.    利用Chef部署「英雄聯盟」資料流

這場架構主題區內的講座(ARC205)介紹Riot Games如何利用Chef來打造它們遊戲「英雄聯盟(LOL)」背後的資料流。裡面詳實的討論了他們為了達到目標而所做的一些決定。

觀看影片或閱讀簡報資料

3.    介紹Amazon Kinesis:即時串流處理

這場30分鐘的談話很好的介紹了Amazon Kinesis背後的概念和動力。這是場平易近人的講座(因此是100等級,BDT103)。

還有更多關於Amazon Kinesis的談話,但如果你想知道它到底是什麼,先從這影片簡報資料開始。

順帶一提,我已經將Amazon Kinesis放在我的新手演出裡。Amazon Workspaces很棒(很快更多相關介紹),還有Amazon AppStream也是。兩者大幅超前同領域裡原本的解決方案,但是Amazon Kinesis將這類型的處理方式帶給全新的對象。

4.    掌握存取控制政策

通常沒有比要求花一個小時來觀看一場關於存取控制政策談話更快讓人睡著的方法了。但是Jeff Wierer在SEC302改變了這個狀況。這場關鍵的講座裡藉由清晰的談話提供了大量的資訊。

到處都是重點,可以說這份簡報資料裡藏著許多寶藏等待發掘。如果你正利用AWS做些什麼,花點時間看看Jeff的談話。

5.    搬遷企業應用程式到AWS:最佳實踐與技巧

在這300級(ENT303)的講座裡,來自AWS的Abdul Sathar Sait和Tom Laszewski詳細介紹了將傳統企業應用程式部署到AWS雲端環境所會面臨的挑戰。

這裡面包含了許多很棒的資料,不僅可以幫你瞭解該如何做,還有為什麼。你應該要來看看將「典型」企業工作負載搬遷到AWS上。

這場講座影片有一個小時,你也可以自行參考簡報資料

身為此次活動的白金贊助商,我們有現場有很大的展示。如果你想瞭解趨勢科技如何提供AWS安全防護,可以觀看我們JD Sherry(@jdsherry)和我(@marknca)所主講的講座 – 「如何在雲端滿足嚴格的安全與合規要求(SEC208)」。簡報資料也提供下載。

我也很榮幸被邀請演講,談談團隊如何幫助建立Deep Security即服務的經驗。這場談話 – 「趨勢科技如何建立自己在AWS上的企業安全產品(SEC307)」也放在網路上,還有簡報資料也是。

Re:Invent大會上發生很多事情。我還沒提到CloudTrail或是我們參與Amazon Workspaces的詳細資料…還有更多即將到來。

感謝你的閱讀,

Mark

@marknca

@原文出處:My 5 Favourite Talks at AWS re:Invent 2013

 

最近有幾起事件敲起了警鐘,像是稜鏡計畫外洩,Healthcare.Gov上線時的問題,還有Adobe Creative Cloud遭受攻擊。網路安全社群可能需要對IT的職業道德有全面性的新指引。雖然像雲端運算這樣的技術可以讓企業、政府機構和安全專家用來收集和處理前所未有的資料量,好幫助保護資產和提供更好的服務,但這力量的使用需要更合乎道德,更謹慎小心。

另外,對於清楚、明確道德要求的擔憂也越來越高。比方說,對於雲端儲存資料的隱私擔憂已經在全球引發朝向隔離、國有化電信基礎設施的趨勢。從巴西到瑞士,政府官員要求他們自己國家的網路和雲端服務不能被外國組織所存取。

對於在過去廿年間,習慣進行全球化、統一性質網路溝通的人們來說,因為全世界越來越對主事者能夠有道德地處理使用者資料失去信心,所造成的損失將會是非常慘痛。此外,這樣子的狀況不僅僅會發生在國際舞台上,也可能發生在個人、雲端服務供應商和組織(像是學校單位)之間。IT道德必須為這新的情勢加以更新,努力地朝向讓公共和私有機構可以恢復信心。

 

缺乏信任可能會導致全球網際網路概念的終止

最近國際對於網路隱私的爭議,是對IT供應商和網路安全社群信任度下降的最明顯證明。巴西和德國最近提出一項聯合國決議案,將延伸保障隱私權利到網路通訊

這舉動沒有指明任何特定國家,也不具有法律效力。然而,它的出現表示對資料收集超出界線的擔憂,已經從正當行使到毫無理由的侵犯。

「在今日,對於存取、儲存或結合個人資料似乎沒有任何技術限制。但是否只要技術上可行都該被允許?」德國駐聯合國大使Peter Witting這樣問到。「我們在對於合理的安全關切和個人隱私權利間的界線在哪裡?」

有些國家已經出現更具體的努力來確保本國公民的資料。路透社報導說,巴西的立法單位已經起草了一項法案,將迫使像Facebook和Google這樣的網路服務巨擘將所有巴西使用者的資料保留在國內

網路公司都會反對這項措施,認為這會破壞網際網路的本質,同時也可能會讓雲端運算服務的成本上升。該法案可能對目前的線上通訊形式造成致命一擊,因為危害了原本沒有侷限的全球運作範圍,以及所支援的開放式技術標準。

雲端服務關係到隱私和信任問題

雲端運算的平地拔起,幾乎也保證組織將有一天必須要解決隱私問題,即使沒有政府監視問題帶來這樣強勁的動力。比方說,瑞士的電信業者(Swisscom)一直致力在將資料保持在國境之內的雲端解決方案,這件事就不是因為美國國安局帶來的影響。

根據Help Net Security,這項動作基本上是由國家支持的,因為瑞士政府擁有絕大部分的瑞士電信股權。新的雲端設計是為了確保資料隱私,並提供具有成本效益的替代方案來提供服務,其中有些很巧的,可能是在其他國家。

這類型的服務實際上可能代表美國國安局等單位對於雲端運算產生更廣泛的影響。在一篇PandoDaily的文章裡,Vineet Jain認為國安局的棱鏡和Muscular計畫為雲端公司帶來必要的方向修正。Jain提到,有些供應商已經很好地將雲端應用程式和雲端資料儲存分離開來,而因為監控行為所造成的隱私爭議,也將刺激更多人跟進。

「值得注意的是,並非所有的雲端公司都會暴露你的敏感資料」,Jain寫道。「透過分離雲端服務(運作在雲端的應用程式)和資料儲存所在(放在雲端或防火牆之後),雲端和軟體即服務(SaaS)可以對業務帶來好處,而不會影響到隱私和安全問題」。

長島學區事件引發信任問題,即便是在地方等級

IT服務供應商需要道德規範,並且更加努力地保護使用者資料的重要性並不只發生在國際間。根據Newsday,John Hildebrand說明紐約具有爭議性的計劃,要將超過兩百萬名學生的資料轉移到亞特蘭大的非營利組織

這家公司InBloom管理包含敏感資料的雲端資料庫,像是學生的考試成績、殘疾和出席記錄等資料。雖然該州和inBloom都向主事者和家長保證,這些資料會被安全地處理,但有些人並未信服。

「這些資料從地方學校的手中被拿走」,一名有三個小孩的紐約媽媽Pamela Verity告訴Newsday。「這是個非常危險的情況」。

教育技術產業可能價值90億美元,inBloom的案例顯示出道德資料處理和尊重隱私的高度風險。有超過600間的紐約學校已經簽署inBloom提案。

 

什麼將構成現代IT安全道德的框架?

提到銀行資訊安全,普度大學的資工教授Eugene Spafford強調了網路安全專家面臨因為這些資料隱私事件所帶來的根本挑戰。Spafford認為,雖然有些道德框架已經存在,但或許還不足以推動網路安全產業,並吸引更多新血進入這領域。

「如果我們真的要將其發展成為一種專業,我們必須讓它可以被普遍認定,讓社會大眾可以對我們有相當的信任,因為我們將需要運行重要設備,替他們管理關鍵資料,尊重隱私,盡我們所能來保護資料安全和使用壽命,保護知識產權並提供相當程度的反應系統」,Spafford說道。

雲端運算讓IT產業可以存取比以往更多的資料。擁有這些資料,也必須負起新責任去尊重隱私,保護使用者免於可能的身份竊盜和只使用必要的資料(因應政府機關情況)來防止攻擊。新道德框架還有很長的路要走,要確保每個人都知道界線在哪裡,有什麼是可以做的,以確保企業不會去踩到線。

@原文出處:Worldwide concerns about data privacy underscore need for new ethics guidance

◎ 歡迎加入趨勢科技社群網站

   

 

 

讓我們從了解你在雲端做些什麼開始。你會部署處理敏感資料的應用程式?你想要測試新的網頁應用程式?你會跟內部環境傳輸交換資料?你會提供應用程式給客戶、合作夥伴、甚至是全球各地的員工?你的應用程式必須24 × 7無休的運作?

Cloud5

哪裡有風險,哪裡就需要被加以管理和控制,以確保你有保護好你的資料、應用程式和系統以對付攻擊,不管你所用的是什麼樣的環境 – 雲端,你自己的資料中心或介於兩者之間。

正如之前的文章裡提過,AWS已經設立高標準來確保落實適當的控制以保護實體基礎設施和虛擬機管理程式。然而,你所部署在這環境內的資料、應用程式和虛擬機器 – 以AWS的觀點 – 是你自己的責任。你需要確保你有實施適當的控制。這是什麼意思呢 – 你需要什麼樣的控制?

 

讓我們從你的主機和網路開始…

當部署虛擬機器時,建議要利用所提供的工具,像是AWS安全群組來做基本的安全功能,之後再加入額外的控制。

對於你的主機和網路,我們建議你落實控制以:

 

  • 限制進出你環境的通訊連線,只允許必要連線進行
  • 確保你對於漏洞攻擊有不間斷的保護,即使是在你的修補程式部署週期之間
  • 當系統組件改變時加以識別,判斷是否有意義
  • 保護對抗惡意軟體和惡意網址

 

為了能夠涵蓋這些要求,你需要部署一些安全控制:

 

  • 通訊控制:限制進出你環境的通訊連線,針對虛擬機器來實施鎖好你的防火牆策略,只在必要時才開啟,同時也防止進出的通訊連線。尋找有提供記錄和警報功能的防火牆,可以更加容易地進行故障排除和管理。
  • 一致的系統防護:隨著組織要求關鍵企業應用程式要持續的改變,往往讓已知系統漏洞的修補工作很難跟上。這也是為什麼可以對抗可能漏洞攻擊的入侵防禦功能很重要了。一個很重要的入侵防禦功能是可以自動地確保正確的保護被實施,甚至在你有機會修補之前。
  • 系統變化偵測:系統組件變化的原因可能有很多 – 許多都不是因為你的系統被攻擊而造成。話雖如此,監視這些系統變化也對你的安全控制變得越來越關鍵。它不僅可以提供問題的早期跡象,事實上也是各種合規標準,如PCI DSS所要求的。
  • 惡意軟體防護:最後,包含網頁信譽評比技術的防毒軟體不僅可以對抗病毒,也會對已知惡意網址加以偵測和防護。

 

所以,讓我們開始你雲端環境控制的安全檢查表:

  •  基於主機的雙向防火牆以防止未經授權的進出通訊連線,加上記錄和警報功能使其更易於管理
  • 提供虛擬修補的入侵防禦以對抗漏洞攻擊,甚至在你部署更新之前
  • 檔案完整性監控以捕捉未經授權的系統組件變化
  • 防毒軟體加上網頁信譽評比技術以對抗病毒和惡意網址

 

現在,你的應用程式和資料呢?即將推出:你該加入什麼到雲端安全檢查表以保護你的應用程式和資料?

 

@原文出處:What security capabilities do you need in the cloud? It’s a matter of controls
作者:Jennifer Hanniman

 

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

按<這裡>下載 2013台灣進階持續性威脅白皮書APT 攻擊

 

◎ 歡迎加入趨勢科技社群網站
   

 

正如我們在前面文章所提到的,我們可以利用OSSEC來偵測現有Hadoop和HBase系統檔案的完整性。OSSEC會產生紀錄,讓系統管理員用以檢查各種系統事件。

big data5

值得注意的是,各種巨量資料系統(Big Data System),不只是Hadoop和HBase,都會產生驚人數量的記錄資料。至少可以說,要安裝一個巨量資料叢集並不簡單,這些日誌對於幫助IT人員建立叢集和診斷系統問題上發揮至關重要的作用。巨量資料系統管理員實際上已經習慣於透過檢查日誌檔來找到潛在問題。

OSSEC可以監控的重要Hadoop安全事件有:

  • HDFS作業失敗
  • HBase登錄
  • Kerberos票證授予
  • Root登入節點

設定OSSEC代理程式來監控一個或多個Hadoop日誌檔,需要將日誌檔案目錄路徑加入代理程式的ossec.conf檔案。對於HDFS NameNode,我們希望監控hadoop-hdfs-namenode-{host}.log檔,{host}是NameNode名稱或IP地址。這檔案通常位在/var/log/hadoop-hdfs/目錄。同樣地,對於HMASTER節點,我們會想要監控/var/log/hbase目錄下的hbase-hbase-master-{host}.log。這樣就可以從OSSEC代理程式取得我們Hadoop和HBase的日誌檔案到伺服器上。

下一步就是撰寫解碼規則來解析日誌,還有警報規則來根據日誌內容生成警報。解碼器用正規表示法組成,讓OSSEC伺服器用來找到感興趣的內容,以及將文字對應到伺服器所能辨認的標準欄位。規則讓伺服器可以檢驗解碼後的欄位來找到指示重要安全事件的內容。當一個給定規則找到來自某一解碼器的事件資料,伺服器會生成一個由規則定義的警報。

視覺化Hadoop的安全事件

 

視覺化OSSEC安全警報最簡單的方法是不斷地顯示警報日誌檔。雖然這也行,但它就像是在看表格內的原始資料。很難或幾近不可能去從資料中找出趨勢。

OSSEC可以透過syslog來發送警報資料給任何安全資訊和事件管理程式(SIEM),提供syslog相容性。我們喜歡用的一個SIEM是Splunk,和一個開放原始碼應用程式稱Splunk for OSSEC。這可以直接從Splunk的應用程式主控台來安裝到OSSEC伺服器上。

Splunk for OSSEC是設計用來取得OSSEC警報,然後歸納總結跟進行趨勢分析。下面顯示的是Splunk上OSSEC儀表板的例子。你可以在這裡看到事件隨著時間推移的摘要,包括之前所討論到的HBase和HDFS事件。

 

 圖二、Splunk for OPSSEC

(圖片來自http://vichargrave.com/securing-hadoop-with-ossec/

 

總結

巨量資料系統可以從像OSSEC這樣的HIDS來獲得主機入侵檢測服務的好處。這些系統可以確保巨量資料的安全性,這也是許多單位採用巨量資料所不可或缺的。我們一直在貢獻Hadoop所用的OSSEC規則給OSSEC計畫,以推動OSSEC和Hadoop社群來使用它們,這和我們之前支持開放原始碼計畫是一致的。

 

@原文出處:Improving Hadoop Security with Host Intrusion Detection (Part 2)
作者:Vic Hargrave

1 2 ... 17 18  下一篇»