iT邦幫忙

2021 iThome 鐵人賽

DAY 15
1
Security

網路奇妙物語 - IT&Security 系列 第 15

鬼故事 - 什麼東西我都要拿在手上

  • 分享至 

  • xImage
  •  

鬼故事 - 什麼東西我都要拿在手上

https://ithelp.ithome.com.tw/upload/images/20210914/20141165SpKnm18VKN.png
Credit: 九品芝麻官

故事開始

小路是小華同公司的 Pre-sales engineers,又稱要賣產品又要做支援的工程師,
今天是小路跟我們介紹一些他見過的問題,

  1. 價格最低標,近年來有比以往改善,狀況是不論品質只看產品名稱,通常會看到為了合規的單位會這樣買東西。

    我們也不能說這種買法是錯的,政府為了避免圖利特定廠商不將規格寫太明確,讓各位去資訊服務採購網上面自行找,但小型單位預算有限,這也出現了專門幫人合規的廠商,如果這種合規廠商能夠解決部分問題就好了,但往往都是沒甚麼用。

  2. 甚麼都要貼標籤,雲端主機?不行,你要有標籤,至少給我一台主機

    當事人小路表示???之後去了解,因為以往制度沒有雲端服務這種概念,所以這類人員還是以我要有主機上面貼標籤才算的方式盤點資產。

  3. 什麼東西我都要自己有

    郵件伺服器? 我要自己有。公司要做電商? 我要自己建。需要東西儲存資料? 我買台 NAS 擺著裸奔在外面。而這也是我們今天要探討的主要內容

資安探討

這篇也是我一直很想寫的,尤其是當我看到郵件伺服器一直被挖了很多漏洞,
但許多單位根本沒力氣或是時間去修補。
所以我就想寫一篇,為甚麼有時候你不需要擁有自己的OOO,而這邊我想用郵件伺服器舉例,
但實際上對應的東西可以替換到其他的設備,也是同樣的概念。

安全邊界(Security Boundary)

首先我們需要看一下安全邊界這件事,
以下是 CSA Stack Model 在雲端安全上面做的大致邊界劃分,
接下來我們會來聊一下裡面的概念。

https://ithelp.ithome.com.tw/upload/images/20210914/20141165RUHorW2jPc.png
因為圖是三種不同類型的雲端服務為介紹,所以我們就以此來延伸吧。
IaaS 基礎設施為服務,你在起一台 VM 你需要維護其功能穩定性、硬體安全性(加密等級...),所以框框裡面需要注意的事情很多,如你買一台硬體需要注意的安全問題也就很多,記住可用性也是資安的考量之一。
PaaS 平台為服務,廠商將服務打包好給你串接、開發,所以安全問題會出現在串接的設定/軟體安全上。
SaaS 直接提供服務給你,你需要注意的安全範圍就縮小了,因為伺服器的安全轉交給雲端廠商,而你需要注意的安全是資料權限、資料保護、呈現等...

大致上了解這些後,我們用郵件伺服器來舉例吧。
當你自建郵件伺服器你至少有以下幾件事情需要注意:

  • 伺服器硬體安全
  • 伺服器系統安全
  • 郵件伺服器軟體安全
  • 權限設定

我們以近期被挖了很多的 Exchange 漏洞為例吧,這些都是郵件伺服器軟體安全,
當然可能雲端版本也可能有類似的漏洞,但這些當你使用郵件伺服器的 SaaS 服務的時候,
維運、安全更新的成本就轉嫁到了雲端服務供應商身上了,這也就是安全邊界的不同,
這時候你只需要注意你的服務權限設定是否安全。

各位看完這些可以思考:

  • 在你維護/資安人力不足時,你真的需要擁有自己的OOO嗎
  • 你正在使用的產品/服務的安全邊界是甚麼
  • 如果安全邊界的問題不能改變,是不是能從縮減存取這件事著手,例如 Exchange 做 hybrid 模式,普通人無法直接連線你的 exchange,而是連線到 SaaS 的 Mail Server,從而減少被打的可能性。

參考連結


上一篇
鬼故事 - 這不是後門這是工程模式!
下一篇
鬼故事 - 滅證高手
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言