【避免云端档案意外曝光落实资料管理SOP成重要关键】保护云上企业机密从掌握资料的动态下手

资料来源：Bitglass，iThome整理，2018年11月

云端服务具备随租即用的特性，越来越受到企业欢迎，不过，随之而来的管理问题，也逐渐浮现。像是Verizon和华纳媒体（WarnerMedia）等知名公司，都曾因为云端储存体上的权限设定问题，分别导致1,400万与400万笔客户资料公开。因此，那些营业机敏资讯放上了云端，以及持有这些资料的人员，是否做好相关的保护，企业都需要有所掌握或监管，避免成为机敏资料外洩的管道。

虽然，提供云端服务的业者，多半都会强调他们平台具备高可用性，并拥有多种资安防护措施，可是，就像租房子，即使房门配置了大锁，大楼也聘请守卫管制进出人员，承租的房客还是要把屋子上锁，才能避免不明人士闯空门，甚至是加装额外的防盗措施，强化门锁的防护能力。当然，最重要的步骤，房客还是要上锁，才会发挥效用。

相同的概念，其实也适用在云端服务租用上，只是许多人可能会认为，放置在云端的应用系统或是服务，其资料安全都是业者的责任，却往往忽略自己也要启用相关的保护措施，一旦自己疏于管控导致权限大开，有心人士不费吹灰之力，就能轻鬆把公司机密搬走。

以往应用系统和资料都在企业内部的机房，至少企业网路上会部署各式防堵外部威胁的机制，以保护公司重要设施和机敏资料，不致随意对外公开，随意任人取用。但在採用各式云端服务时，由于基础设施都部署在业者的资料中心，企业能够掌控的部分更为有限。

论及保护这些存放于云端的公司资料，最根本的做法，莫过于在启用储存体与上传档案时，就套用合适的设定。例如，维持系统预设不公开的政策。

而已经採用了一段时日的企业，则应该透过盘点的方式，了解公司的重要资料放置的地点，进而检视这些档案，是否已经得到妥善防护。

就追蹤机敏内容的流向而言，採用Cloud Access Security Broker（CASB）产品，算是较能即时掌握资料流向的措施，而透过资料外洩防护机制（DLP），能够发现具有特定样式的机敏资料，例如大量的身分证字号、电话号码，可在进一步列管这些资料的上传行为，或是直接禁止存放到公有云。

此外，从资料本身的加密着手，也能避免在档案外洩时。资料直接遭到曝光。可以使用档案加密机制，与数位版权管理（DRM）等，则是能避免档案不小心遭到公开时，其中的内容难以直接开启和检视，达到保护机密不致外洩。

不过，并非所有企业都会使用上述的工具，很有可能仅是採用试算表档案，记录云端储存体上存放的内容，甚至有些IT人员以自行记忆的方式管理。

採用CASB掌握云端上资料动态

由于难以透过传统的防护措施直接管控使用者行为，透过云端存取安全中介系统的监控，可管控员工是否将机敏资料存放到云端，以及这些档案的储存，符合相关的保护措施与否等。

图片来源／Symantec

列出云端应用所曝露资料的情况

从Symantec CloudSOC的管理画面上，企业可针对Office 365等应用程式，快速得知是否有使用者或是档案，面临在网路上公开的情形，并且，这里也显示档案的合法性，IT人员就能从中知悉是否存在相关风险。

 

图片来源／Forcepoint

能依据不同时段管制存取政策

企业不只能由CASB追蹤员工使用云端的动态，还能建立政策，限制特定时间的管制措施。以图中Forcepoint CASB的政策管理介面而言，我们可以指定在不同时段里，套用不同程度的监控或管制策略。

企业上云是大势所趋，而且採用範围越来越多元

虽然并非每间公司都採用云端服务，然而根据CASB业者Bitglass的调查，今年初已有超过8成的企业上云，比起2016年时约为59%增加不少。换言之，现在每5间公司，至少4间开始採用各式云端服务。

资料保护解决方案业者Veritas则在他们今年度的资料冰山调查报告（The Databerg Report）中，调查2550名IT主管后发现，企业上云最重要的理由，位居首位的是降低营运成本（62%），其次则是做为资料备份与建立灾害复原机制，分别有55%与48%。但是，企业所拥有的资料里，仅有15%是属于真正重要的机敏内容，约有33%则是过期或是重覆留存冗余资料（Redundant, Obsolete or Trivial，ROT），然而，前述两者之外，企业超过一半以上的资料，属于状态不明的黑资料（Dark Data），因此，企业保护资料应有优先顺序，才能充分发挥防护效果。

这样的情况，Forcepoint也提出了相当接近的分析结果──企业里约有47%存放在云端的资料，是IT部门无从掌握或根本就尚未纳入管理。而且，该公司在今年第1季，在网路上发现多达12,000TB、超过15亿笔的敏感资料。他们也发现，企业在分享机敏内容时，56%没有採取严谨的措施。

而从Symantec公布的2018年影子资料报告里，也指出云端服务所衍生的企业资料管理乱象，受访的CIO普遍认为，自己所属的企业总共拥有30至40个云端应用系统，但是实际上存在于企业的各式服务，平均却多达1,516个，比起去年1,232个成长了四分之一。

上述各项统计数据显示，在企业之间採用云端服务的情况很常见，而且往往还是运用多款服务，然而，同时背后带来了企业管不到的影子IT问题，包含了影子资料与云端应用等。

虽然台湾企业导入云端服务的速度，与国外有所差距，採用云端服务的考量，也必须纳入法规的要求，例如，金融单位必须採用在台湾设有资料中心的云端平台，因此必须捨弃AWS S3或是Azure等业者的服务。然而，根据我们最近针对台湾新兴储存应用的调查，採用公有云的比例可说是大幅成长超过5成──从去年的9%，变成今年的14%，若以此发展速度，云端服务即将成为台湾企业储存主力之一。

上云让资讯管理问题再度浮现

对于即将导入云端服务的企业来说，避免无意将机敏档案公开最为理想的做法，便是在将资料上传到云端的流程中，就确实妥善配置储存体的相关设定。不过，无论是AWS S3、Azure、Google Platform等平台，它们的共用功能，预设值都是关闭，真正的困难之处，还是在于使用者想要开启分享的权限，甚至是连接其他系统时，需要具备相关知识，才能正确架设这些系统。

以虚拟平台备份解决方案龙头Veeam的资料曝露事件为例，其中便同时包含了云端的AWS S3储存体，以及应用系统的MongoDB资料库两大部分，换言之，企业机密曝光的现象，往往不完全只是云端储存体设定的问题，光是MongoDB必须启用内建的防火墙等防护机制，恐怕不少IT人员头痛，或试图让系统能正常运作后，便忘记设定资料保护机制。

有鉴于AWS S3上的资料曝险事件频传，Amazon还在去年底，调整管理介面，特别以醒目的Public字样提醒使用者，储存体属于公开的状态，任何人只要找到完整的路径，就能下载档案。此外，该公司也纳入了档案加密的政策，能让用户定义所有储存的内容，都要採取加密保护措施。

相较于建置在企业内部的资料中心而言，将应用系统或是资料搬上公有云之后，势必要倚赖公有云与应用系统本身的各种防护措施。然而，实际把资料搬上云端的员工，若是没有相关的知识，极有可能导致权限配置不当；纵使执行的员工能够妥善设定，日后若是必须由其他人接手时，也可能产生断层。因此，企业若是能够建立一套标準作业程序，追蹤搬上云端的机敏内容动态，或许才是长久之计。不过，企业想要找出这些资料，大致上还是要从盘点的角度着手，先彙整所有保存公司资料的储存体，再来才是归纳出其中含有的机密。

步骤1：先从盘点上云资料下手

基本上，想要保护企业机敏内容，避免因权限设置不当造成资料的曝险，首先便是要找到档案的存放之处。因此，企业必须先进行整体的资料盘点作业。

根据前述Veritas访问2,550位IT主管的结果，平均一间公司里面，仅有15%是重要的资料，因此，若没有先行盘点，便会耗费过多的资源在保护冗余资料及未能列管的内容。该公司估计，若是没有增加资料的透明度，将管理资源集中在真正需要保护的资料，在2020年时，全球的企业要因应庞大的冗余资料储存与管理需求，将至少要耗费3.3兆美元。

其实，不论资料上云端与否，企业都应该定期清点，只是相较之下，存放在多个云端服务的资料，执行列管的步骤与複杂程度，也随之变增加。

首要决定盘点资料来源

然而，想要盘点这些资料，并且了解企业里那些人能够触及，也有相当高的难度，因此，Veritas技术顾问协理孙秀婷认为，虽然要达成全面盘点并不容易，但IT人员要先决定採取什么样的方法，以一致性的基準进行盘点。

基本上，企业可从已经採用、并能够列管端点电脑的平台，进行选择。例如，资料备份解决方案、资产管理工具，或是端点的防毒软体等，都是能够採行的资料管理源头依据。

像是以备份系统来说，至少企业可透过指定的档案类型与名称，先行找出特定的资料，例如，员工备份到云端空间的PST电子邮件帐号档案，与MSG格式的信件档案等等。

但对于没有上述管理工具的公司来说，可能就要透过人力的方式，进行储存体逐一盘点，并予以记录下来。

透过专属资安系统进行过滤

若是想要透过即时监控的方式，找出在云端中储放与运用机敏资料的情况，企业可採用云端存取安全中介系统，透过进出云端服务的流量，进行行为侧录与追蹤。而近年来，各家资安大厂都争相提供相关的解决方案。

根据市调公司Gartner在今年10月底的魔术象限报告中指出，虽然目前採用这种防护产品的比率不到20%，但他们估计，2022年时约60%大型企业会採用。

值得留意的是，这些解决方案与云端服务介接的方式，主要可分为2种，一种为反向代理伺服器的模式，再者则是透过云端服务的API连接。前者的模式中，上网的使用者必须经由CASB连线，才能连接到外部的云端服务，因此可提供较为完整且即时的管制措施，然而，若是员工直接在公司外部，以网际网路连线直接存取云端服务，就无法受到CASB的保护。

利用API介接的做法，则是在使用者连线到云端服务时，由串接的API把用户导向企业的CASB，其特性就是不受员工在公司内部网路与否，都可使用CASB的功能，对于网路频宽的需求也较低。但相较于反向代理伺服器的机制，API引导的做法则对于使用者的行为记录，管制功能可能不若反向代理伺服器完整。

此外，对于规模较小的企业而言，上述也有厂商如Forcepoint，试图在网页安全闸道或是防火墙上，陆续纳入部分的CASB功能。企业日后就能在上述2种设备中，启用有关的附加机制，便能以此管理由设备上网的员工，让他们使用云端服务时能够得到相关的保护。而像Symantec的策略，则是提供CloudSOC的延伸功能，例如线上版本的DLP、网页安全闸道，以及上网隔离措施等等。

反向思考，由渗透测试找弱点

企业想要检查与盘点资料，不只能从各式的侦察机制着手，也有厂商提出委由外部资安团队执行渗透测试的想法。虽然这样的方法不若CASB能动态监控，但对于想要开始着手找到弱点的企业而言，不失为一种方法。

而且，透过渗透测试所带来的附加好处，就是连带能找到企业内部的弱点，然后一併进行修复作业。

步骤2：列管机敏内容的流向

了解企业所储放的机敏内容之后，进一步就是要针对使用者能够上传的档案，进行管制措施。透过自动侦测的工具而言，主要就是前面提到的云端存取安全中介系统，能够直接追蹤使用者操作的动态之余，部分厂牌的产品，更进一步提供使用者行为分析（UEBA）的机制，一旦发现异常存取的现象，便会提醒管理者，确认是否为攻击事件。

不过，企业对于文件管理的系统，在云端的机敏资料管理上，还是能够派得上用场。而且，能够先行识别可能带有重要内容的档案。

採用DLP列管上传内容

论及前述事件里大量洩露的客户资料，像是身分证字号、行动电话号码等，企业就能採用DLP，将含有这种内容的资料找出来，甚至可进一步禁止使用者上传。

不过，採用DLP的前提，就是内容要具备一定的字串格式特徵，才能受到事先制定的定义识别。因此，许多资料并不能直接以DLP纳管或是拦截，例如，公司的重要合约就可能难以透过指定规则，交由DLP检测。

透过CASB行为追蹤

相较于DLP仅能找出特定规则的内容，CASB能够监督使用者存取云端服务的状态，而且，它能涵盖的面向较广，包含了能侦测敏感资料是否公开或广泛共用，或是能发现将资料上传到未经许可的云端应用程式，以及是否符合GDPR等法规的要求等。

而CASB不只能找出资料曝险的情事，也普遍具备威胁防护的能力。

步骤3：确立SOP以持续管理

虽然随着企业的规模与所属领域不同，选择用来防範设置不当的措施，也会有所调整。不过，相同的是，为了企业确保能够持续掌握所拥有的机敏资料，应该需要建立一套执行的标準作业程序，以免公司人员调动等因素，换由他人接手就要重新再次制定相关规则。

不过，由于订立的流程不见得尽善尽美，可能随着企业组织的更动，需要有所调整，因此，在落实标準作业程序之余，也要定期检视并修正执行的方式。

 

图片来源／RedLock

上云企业需自行维护资源组态与员工存取管理

企业採用云端服务时，其安全性由业者与企业共同维护。业者主要是负责基础设施的安全性，但在资源的组态设定、使用者存取行为的控管，以及网路流量管制等，企业仍是必须加以管理。

 

图片来源／Forcepoint

各种形态的云端服务中，企业能掌控的层面有所不同

在云端服务中，底层的网路、储存空间、虚拟化平台等，都是由业者控制，其中，针对资料的部分，IaaS与PaaS上企业仍可自行掌握，而SaaS中，资料则无法直接备份或管理，必须透过云端业者提供的工具，或是交由其他厂商执行。

 

图片来源／Veritas

列管机敏资料动态，首先需要了解资料分布所在

想要找到机敏资料并加以妥善保护，首先便要找出企业有那些资料。以图中Veritas Imformation Map的仪表板中，便呈现各地资料量，并且提供管理者以副档名的方式，寻找特定型态的资料分布，或是那些是较为不重要的档案，藉此初步分类可能需要加以侦测动态的内容。