鬼故事 - 什麼東西我都要拿在手上

Credit: 九品芝麻官

故事開始

小路是小華同公司的 Pre-sales engineers，又稱要賣產品又要做支援的工程師，
今天是小路跟我們介紹一些他見過的問題，

1. 價格最低標，近年來有比以往改善，狀況是不論品質只看產品名稱，通常會看到為了合規的單位會這樣買東西。

   我們也不能說這種買法是錯的，政府為了避免圖利特定廠商不將規格寫太明確，讓各位去資訊服務採購網上面自行找，但小型單位預算有限，這也出現了專門幫人合規的廠商，如果這種合規廠商能夠解決部分問題就好了，但往往都是沒甚麼用。

2. 甚麼都要貼標籤，雲端主機？不行，你要有標籤，至少給我一台主機

   當事人小路表示？？？之後去了解，因為以往制度沒有雲端服務這種概念，所以這類人員還是以我要有主機上面貼標籤才算的方式盤點資產。

3. 什麼東西我都要自己有

   郵件伺服器? 我要自己有。公司要做電商? 我要自己建。需要東西儲存資料? 我買台 NAS 擺著裸奔在外面。而這也是我們今天要探討的主要內容

資安探討

這篇也是我一直很想寫的，尤其是當我看到郵件伺服器一直被挖了很多漏洞，
但許多單位根本沒力氣或是時間去修補。
所以我就想寫一篇，為甚麼有時候你不需要擁有自己的OOO，而這邊我想用郵件伺服器舉例，
但實際上對應的東西可以替換到其他的設備，也是同樣的概念。

安全邊界(Security Boundary)

首先我們需要看一下安全邊界這件事，
以下是 CSA Stack Model 在雲端安全上面做的大致邊界劃分，
接下來我們會來聊一下裡面的概念。

因為圖是三種不同類型的雲端服務為介紹，所以我們就以此來延伸吧。
IaaS 基礎設施為服務，你在起一台 VM 你需要維護其功能穩定性、硬體安全性(加密等級...)，所以框框裡面需要注意的事情很多，如你買一台硬體需要注意的安全問題也就很多，記住可用性也是資安的考量之一。
PaaS 平台為服務，廠商將服務打包好給你串接、開發，所以安全問題會出現在串接的設定/軟體安全上。
SaaS 直接提供服務給你，你需要注意的安全範圍就縮小了，因為伺服器的安全轉交給雲端廠商，而你需要注意的安全是資料權限、資料保護、呈現等...

大致上了解這些後，我們用郵件伺服器來舉例吧。
當你自建郵件伺服器你至少有以下幾件事情需要注意：

• 伺服器硬體安全
• 伺服器系統安全
• 郵件伺服器軟體安全
• 權限設定

我們以近期被挖了很多的 Exchange 漏洞為例吧，這些都是郵件伺服器軟體安全，
當然可能雲端版本也可能有類似的漏洞，但這些當你使用郵件伺服器的 SaaS 服務的時候，
維運、安全更新的成本就轉嫁到了雲端服務供應商身上了，這也就是安全邊界的不同，
這時候你只需要注意你的服務權限設定是否安全。

各位看完這些可以思考：

• 在你維護/資安人力不足時，你真的需要擁有自己的OOO嗎
• 你正在使用的產品/服務的安全邊界是甚麼
• 如果安全邊界的問題不能改變，是不是能從縮減存取這件事著手，例如 Exchange 做 hybrid 模式，普通人無法直接連線你的 exchange，而是連線到 SaaS 的 Mail Server，從而減少被打的可能性。

參考連結

• https://www.tutorialride.com/cloud-computing/security-in-cloud-computing.htm
• https://docs.microsoft.com/zh-tw/exchange/exchange-hybrid