Credit: 九品芝麻官
小路是小華同公司的 Pre-sales engineers,又稱要賣產品又要做支援的工程師,
今天是小路跟我們介紹一些他見過的問題,
我們也不能說這種買法是錯的,政府為了避免圖利特定廠商不將規格寫太明確,讓各位去資訊服務採購網上面自行找,但小型單位預算有限,這也出現了專門幫人合規的廠商,如果這種合規廠商能夠解決部分問題就好了,但往往都是沒甚麼用。
當事人小路表示???之後去了解,因為以往制度沒有雲端服務這種概念,所以這類人員還是以我要有主機上面貼標籤才算的方式盤點資產。
郵件伺服器? 我要自己有。公司要做電商? 我要自己建。需要東西儲存資料? 我買台 NAS 擺著裸奔在外面。而這也是我們今天要探討的主要內容
這篇也是我一直很想寫的,尤其是當我看到郵件伺服器一直被挖了很多漏洞,
但許多單位根本沒力氣或是時間去修補。
所以我就想寫一篇,為甚麼有時候你不需要擁有自己的OOO,而這邊我想用郵件伺服器舉例,
但實際上對應的東西可以替換到其他的設備,也是同樣的概念。
首先我們需要看一下安全邊界這件事,
以下是 CSA Stack Model 在雲端安全上面做的大致邊界劃分,
接下來我們會來聊一下裡面的概念。
因為圖是三種不同類型的雲端服務為介紹,所以我們就以此來延伸吧。
IaaS 基礎設施為服務,你在起一台 VM 你需要維護其功能穩定性、硬體安全性(加密等級...),所以框框裡面需要注意的事情很多,如你買一台硬體需要注意的安全問題也就很多,記住可用性也是資安的考量之一。
PaaS 平台為服務,廠商將服務打包好給你串接、開發,所以安全問題會出現在串接的設定/軟體安全上。
SaaS 直接提供服務給你,你需要注意的安全範圍就縮小了,因為伺服器的安全轉交給雲端廠商,而你需要注意的安全是資料權限、資料保護、呈現等...
大致上了解這些後,我們用郵件伺服器來舉例吧。
當你自建郵件伺服器你至少有以下幾件事情需要注意:
我們以近期被挖了很多的 Exchange 漏洞為例吧,這些都是郵件伺服器軟體安全,
當然可能雲端版本也可能有類似的漏洞,但這些當你使用郵件伺服器的 SaaS 服務的時候,
維運、安全更新的成本就轉嫁到了雲端服務供應商身上了,這也就是安全邊界的不同,
這時候你只需要注意你的服務權限設定是否安全。
各位看完這些可以思考: