早前有報告指出,香港六成商業機構未有正視採用消費向公共雲可能帶來的風險,而 Dropbox 早前便傳出用戶資料外洩的新聞。面對雲計算和 BYOD 現象的普及,企業機構愈來愈難有效保護數據安全,其中關鍵在哪? NetIQ 營運副總裁 John Delk 就直指答案是身份管理保安(Identity-Powered Security)。
存取權限不應是「零和遊戲」
隨著雲服務、BYOD 與物聯網興起,存取權限管理的定義也由傳統的存取控制和執行來個翻天覆地的轉變。企業數據洩密問題成為不少機構的夢魘,CIO 想方設法防護數據安全,但另一方面又難以阻擋雲計算和 BYOD 等現象的大勢,加上「永遠在線」已成為企業必然政策,企業務必要在基本存取管理之上加入審計、法規遵循、管治等多項環節,因此衍生不少保安問題。
由於數據才是整個需要保護的核心,就像銀行金庫需要有重重的授權下才能進入,對企業數據的存取權限就儼然是保護重要數據的虛擬圍欄。正如接近銀行金庫只能限制少數人有權限,也不能在任何時間隨便接近,企業重要數據的存取權限當然也應有所限制。
但現在很多機構的處理方式,卻像是「All or Nothing」,如果提供了權限給員工帳戶,「要麼全部擁有,要麼一無所有」,安全的資源不是沒法運用,就是得解除所有保護機制,沒法更彈性地管理和運用存取權限以及其他相關安全措施,難以提高企業數據安全。
身份管理有助提高 BYOD 保安
NetIQ 營運副總裁 John Delk 早前接受媒體訪問時表示,很多機構都只使用最初步的登入帳戶和密碼為工具,只要成功登入就具備有關權限,至於實際是否本人、在怎樣的環境下存取數據,往往一律不知。如果沒有身份管理支撐,就算多強的防火牆都無意義,因為黑客只要偷取了有權限的人的登入帳戶,就能直取所有關鍵數據,企業不僅無能為力,甚至可能很久也不察覺。
「員工正常應該在辦公時間於公司範圍登入,如果發現在夜半時份,或是用海外 IP 登入的話,那這些登入行為其實很可疑。」John Delk 解釋,以早前外洩了的 Dropbox 登入資料為例,如果有人掌握了這些資料就能自由登入,他在哪兒在甚麼時間登入都不影響他成功存取重要資料,因此一套有效的身份管理系統能為企業重要資訊提供多一重的保障。
由於 BYOD 和流動辦公現象普遍,如果一律禁止的話將削弱競爭力,但機構又如何判斷這些非辦公室範圍的登入是安全?John Delk 舉例指,NetIQ 的 NetIQ Identity Manager 就具備上述的功能,可分析登入者的日常行為,一旦出現不符合慣常模式的登入行為都會監視或阻止。就算允許登入也會有紀錄並通知有關人員,事後可向當事人查詢是否有在夜半或使用非慣用的電腦登入,從而判定有否出現過入侵事故。
公有雲保安問題同樣需正視
Unwire.pro 早前報導過,有研究指 77% 的香港商業機構 IT 決策者,認為「資訊保安」是他們使用雲端服務時最關心的問題;更有 56% 機構表示在選擇雲服務時,會選擇面向一般消費者的公共雲服務,而非專為企業定制的雲端服務。但數日前 Dropbox 就傳出資料外洩意外,多達 700 萬則 Dropbox 的用戶名稱和密碼被黑客公開。
雲端服務應用在全球正日益快速增長和普及,各個機構都謀求獲得這些服務帶來的諸多好處。但不同於能完全自己控制的私有雲,採用公共雲是否真的沒有更安全的辦法?NetIQ Identity Manager 其實整合了雲端服務的身分識別管理功能,將身分識別管理延伸至 Salesforce.com 與 Google 等 SaaS 應用程式及防火牆以外的其他資源。
小心管理第三方伙伴存取授權
John Delk 表示,其實問題並不在於是採用哪些雲端服務,不論是公有雲或是私有雲,只要企業沒有做好身份管理保安,那問題一樣會出現。以 Dropbox 今次的意外為例,就懷疑是因為第三方服務導致外洩,如果機構本身就不重視權限管理,隨便把帳戶登入授權給第三方應用,那自然會衍生保安問題。
就算是採用私有雲也好,機構因會向其他業務伙伴提供私有雲服務的使用權限,因此同樣有機會帶來保安風險。John Delk 認為重點其實不僅在於使用保安方案去阻止可疑登入,而是透過包括工作流程管理、業務策略等多重因素共同努力,用一個大家都能接受的方式,平衡工作效率和數據安全的管理。
