雲端資安需要做什麼?
您的公司是不是正在使用雲端?但是又擔心雲端可能被從任何地方攻擊?您的企業是不是正在考慮導入 ISO 27001/ISMS 或是一些資安的相關規範?
HENNGE One 將多個服務打包並組合起來讓企業可以更安心的使用雲端的服務。
其實雲端的服務真的沒有您想象中的那麼不安全。不論是微軟的 Office 365 或是 Google 的 G Suite,基本上有多年的 Infrastructure 經驗再加上強大的技術團隊,已經不是一般企業自己建伺服器和防火牆所能比擬的了。另外,Office 365 和 G Suite 在雲端運算能力都已經非常成熟,所以不論是在釣魚信件的演算法或是病毒檔案的資料庫都比企業自己做來的更新、更周全。
但是有一些在雲端上面的安全性不論是再大的廠商還是不一定能夠做得更好。這些安全性上的因素也一直是 IT 的管理員所擔心的資安漏洞:
- 存取太容易 — 雲端因為在任何地方都能夠被存取,在存取方面非常的容易。這有可能導至資訊在有意或是無意的情況下被洩漏給外面的人員。可能的管導如行動裝置的遺失、被來自公司外部的駭客攻擊。
- 人為資安因素 — 公司的人員本身對資安的部份較缺乏危機意識,因而把公司內部的文件或是檔案輕而易舉的轉寄給公司外部的人員。
如果能夠針對以上的兩點來解決才是 IT 管理員應該解決雲端資安的漏洞問題。雲端的服務都來的太容易、存取非常簡單,基本上預設的情況下是從任何地方都可以存取的這個特性雖然是雲端的好處,但同時也是雲端服務最大的弱點。如果能夠在不保留雲端在各地都能存取的便利性下又可以解決這個可能被外部攻擊的弱點的話就接近完美的解決方案了。HENNGE Access Control 剛好平衡了雲端的這兩個優缺點。使用 Access Control 的憑證的話,只要從公司外部登入的話都會直接被拒絕,但是如果在公司外部使用裝置憑證的話就可以安心的從世界各個角落來登入並存取公司的雲端服務。
另一個雲端的優點也在於它的便利性,因為所有的資料都是放在雲端的空間裡面,所以資料可以很容易的被使用者下載下來並轉寄給外部的收件者。這是雲端人為因素所造成的資安弱點。為了解決這個人為因素的弱點,HENNGE 的 Email DLP 解決方案可以輕鬆的植入一些自定的規則,如個資的範本或公司不想被寄到外部的一些關鍵字等就可以輕鬆的把資料給欄截下來。
其實 ISO 27001 並不是單一個嚴格的規定,而它其實是一套標準,從 Plan、Do、Check、Act 來管理並製定一套公司內部的標準流程。因為要 ISO 27001 製定一套完美的規範來稽查並規範所有產業、所有公司的 IT 標準實在是太困難了。它們只做得到設定一套規範來規範公司內部的流程標準程序而已。而真正審核這個程序的人就是最後的稽核人員。公司所要制定規範的方法如下:
- Plan: 針對雲端的服務開啟 IP 限制。要拒絕從公司 IP 以外的地方存取雲端服務。
- Do: 實施 IP 限制的管控。
- Check: 在外部存取時是不是有效的控制了可以登入並存取的位置了?
- Act: 對 Check 沒有達成或是可以更完善的部份進行改善。
按照如此程序來建立公司內部的規範和標準流程等。而 HENNGE One 這一套軟體可以幫助您的公司更簡單來達到您的公司在資安方面設定的規範並能確保它們的嚴格執行。