打造通向云计算和BYOD的安全之桥
当云计算和移动设备大量涌入企业的时候,云安全也成为企业必须要提上日程的首要问题,随着云端运算的技术及应用日渐成熟,底层虚拟化技术的研发以及云端数据中心的建置已达到一定水平,许多企业开始建立私有云,以掌握云端运算的效率与价值。根据Gartner 2012年的CIO调查结果显示,部署云端服务在企业十大重点中,已经成为第三大项目,而企业云端服务又以企业私有云为主,企业内部信息流通的安全性相当重要。
加上智能型移动设备的普及,搭配现行BYOD(Bring Your Own Devce)的风潮,员工利用个人云来传递及储存企业文件的行为,也已渐渐普及,云端服务的安全问题,也已渐渐浮上台面,若无法妥善解决,势必会影响企业导入云端的意愿。
根据资策会产业情报研究所(MIC)对TOP 5,000数据库之大型民营企业为基础,随机抽样后所取得的509家企业有效样本所进行的问卷调查,计划采用云端相关安全产品的企业达近74%,较2011年之52%,大幅提升,显示安全已为企业之必要信息投资项目,一半以上企业认同云端安全之防护效能,使得投资意愿维持不坠。
在企业对防病毒软件若采用云端技术,会有效提升其防护效能之看法上,近两年看法分布比例虽无明显差异,但持同意看法者均超过五成,显示企业对于防毒采用云端技术的防护效能,大都抱持正面看法 .
值得注意的是,尽管2012年整年的经济表现停滞不前,但2012年仍有33.4%的企业表示将会增加信息安全的投资,仅较2011年的38.5%,降低约5%,维持投资水平者则提高约5%,达到63%之水平。
整体而言,近两年变化不大,企业对云端安全的投资仍相当重视,但由于过去的持续投资,许多企业的安全相关措施,都已达到一定的程度,因此许多企业的安全投资,多半是以替换取代新投资为主。
而在未来三年云端安全相关之产品或服务采用意愿方面,防垃圾邮件、防毒、防火墙等,为企业未来三年内打算采用或扩大采用之云端安全产品或服务中最主要的产品,比例皆高于60%,入侵检测与防御、储存归档与备份等两项产品,在2012年采用比例,亦提升至30%以上之水平。网页应用程序防火墙、身分认证在2012年之调查中,比例明显提高,亦为具成长潜力的产品。
敏感信息及关键流程未上云端
但由于许多企业对于云端服务的安全问题仍有疑虑,MIC指出,现阶段大多数企业的云端服务项目,主要是以档案储存备份、在线视频会议或是字处理等办公室生产力为主,许多敏感信息及服务流程,大多数企业仍不愿意放置在云端。
因为办公室生产力类云端服务,比较不会牵连到企业内部营运流程,所以即使该服务临时出现故障,短时间内无法正常运作,企业的日常营运也不会因此停摆,整体影响程度最小。而且此类云端服务与企业内部机密数据的关连性较低,较不会触碰到企业最敏感的信息安全议题,也成为企业采用云端服务的优先选择。
由于在云端运算的架构下,企业使用的信息系统是由云端业者提供,企业对信息系统以及数据的掌握程度不但会大幅下降,加上在云端运算的虚拟主机和多租户的概念下,企业使用的信息系统,有可能会与其他公司,甚至是竞争对手运行在同一个实体主机上,更让许多企业负责人无法放心将敏感信息或重要流程,转移到云端服务上。
但尽管知道云端网络不安全,基于方便考虑,多数企业不会禁止员工使用云端应用。事实上,禁止使用云端应用的做法过度消极,也可能使企业竞争力降低,采取正面思考模式做好云端防护,让员工可以放心使用各种云端应用,才是积极的态度。
移动设备安全是重要议题
ESET亚太区总代理高级产品经理卢惠光指出,当行动云端时代之下,企业或个人更要全面提升安全防护机制,包括主机端的主机入侵防御(HIPS)功能,以及针对各种可移除式媒体的控管与云端防护,都不可以少。
如使用者若能设定自己的手机能够使用哪几张SIM卡,如此一来,当手机不小心遗失,其他人无法用别的SIM卡进入系统,当然里面的数据就不会遭窃、外泄;又或者,手机遗失之后,远程管理者也可以利用简讯指令,发送命令将手机里面的数据删除,避免被别人窃取。
使用者也可以预设信任的朋友,利用朋友的手机发送简讯更改密码,其他人就无法进入手机系统取得数据,或是当用户忘记密码时,也可以透过此功能重设密码。
随着智能型手机当道,成千上万的应用程序(App)被发展出来,各式各样被写在手机App中的木马程序与病毒,也如雨后春笋般出现。卢惠光说,黑客要把内含病毒的软件放到Android操作系统的Play商店,非常容易,已经有许多使用者中毒而不自知,因此安全防护不能少。
据远传电信企业暨国际事业处副总经理李明宪粗估,目前企业员工中,智能型手机的整体渗透率约在30%左右,2013年极有机会突破50%大关,云端服务也将有更大的成长空间,所衍生的云端安全商机,更值得大家重视。