雲端行動Q&A

Q1：除了弱點管控之外, 雲端核心系統還有其它要注意的地方嗎?

A：雲端計算中心主要由各式各樣的IP元件所組成, 運行上IP即是該元件的唯一識別, 若發生的IP混亂, 任意新增或修改IP都會造成不小的災難, 因此針對個別設備的IP及MAC的對應管理系統就日顯重要, 讓没有合法申請的MAC是無法拿到或任意設定IP的, 進而也可作到自動化的資產盤點. 讓雲端中心成為一有秩序易管理的環境.

Q2：對於雲端中心最常使用的虛擬主機安全考量是否與一般實體主機一樣?

A：是相當不同的, 虛擬主機(Virtual Machine)其實只是一個image檔案, 需要執行時才將它播放出來, 我們所提供的McAfee MOVE(Management of Virtual Environment)方案可提供與Hypervisor無闗的安全防禦, 同時也可以根據目前Hypervisor負載狀況進行掃描, 另外也可以以離線方式對image進行掃描及防護, 較一般實際主機提供了更有效率的保護方式. 除了虛擬主機的安全防護, MOVE也可以對許多企業在使用的虛擬桌面(Virtual Desktop)進行類似的有效保護.

Q3：如何防止雲端中心資料外洩?

A：一般資料外洩的管道大致分為

1) 內部一般外洩: 如電子郵件、Webmail、點對點應用程式、IM、Skype、HTTP、HTTPS、 FTP、Wi-Fi、USB、CD、DVD、印表機、傳真與移除式儲存裝置，在網路上傳送、存取、列印與儲存機密資料

2) 內部有心外洩: 資料經修改、複製、張貼、壓縮或加密攜出

3) 不良駭客入侵: 經由木馬程式、蠕蟲、檔案分享等應用程式，竊取企業機密資料

等三大途徑, McAfee的DLP解決方案可針對無論是終端上的使用或網路上的傳輸皆有具體的對策, 另外還可提供機密資料的探索機能, 讓管理者清楚了解要保護的資料所存放的位置是在那個檔案, 資料庫或是儲存裝置, 可作好機密資料的資產盤點.

Q4：雲端中心資料庫是主要存放資料的所在, 相當重要, 是否需要特殊的保護加強呢?

A：雲端中心的資料庫通常在網路的最內部, 一般人無法直接接觸, 但仍需對有資料庫權限的使用者或程式進行必要的監控. McAfee的DAM(Database Activity Management)解決方案可針對市面上主流的資料庫如Oracle, MS SQL, Sybase等進行活動的監控記錄, 如有人查詢敏感的資料或修改表格的結構或更改使用者權限都可以忠實記錄下來, 和一般市面其它資料庫活動由網路來監視不同, 因為經網路上攫取的方式是無法阻擋或記錄人員在console前的任何活動的; 同時本解決方案也可以提供Virtual Patch的功能, 意指若原先資料庫未上未能及時上patch前, 或是因版本老舊原廠根本不再出新的patch時, 都可利用我們McAfee資料庫Virtual Patch防護方案滿足此一需求.

Q5：各式的雲端服務皆有其驗證的帳號, 企業內部又有AD或LDAP的帳號, 是否有可能作到single sign-on?

A：這是一個很實際的需求, McAfee成為Intel一員後, 也將Intel原先的產品線Cloud Access 360納入其雲端資安平台的一環, 該設備可以作為讓員工以公司AD帳號為主的單一認證, CA360會自動將員工預先對應的帳號與其它雲端服務作認證, 以達成single sign-on的目的. 同時企業也可藉此管理好員工的密碼是否夠安全, 強迫避免使用不被充許的雲端服務, 才能充分享受雲端服務所帶來的各項便利.

標籤 :