文章段落
面對居家辦公,我們公司的雲端資安防護網完善嗎?受三級警戒影響,台灣多數企業選擇讓員工 Work from Home(WFH) 。雖然在家上班有其優點,但也衍生很多新的應用需求,最主要的就是「如何連到公司系統」。這些需求使得相關業者推出各種居家辦公的應用方案,當然,安全性問題也油然而生,本文針對各項應用提出4大建議給大家參考。
雲端資安防護對策 1:使用防火牆+跳板機
不論您的系統在地端或雲端,如果只開放一個 IP 或 URL 讓大家連線且沒有設定防火牆,那就很容易就被駭客入侵!隨便猜一下密碼就能被攻破。 GCP 有提供無伺服器的防火牆,您可以直接鎖定,只允許員工的 IP 去連線,而不是開放所有來源IP都可以連線,因為網路上有很多駭客每天都會跑一些小程式,一天到晚在網路上掃描開放連線的 IP 和 Port,很快就會被找到。
以上只是第一道防線,更好的方法是使用跳板機。這樣一來,安全性就能提高不少!
跳板機設定建議:
1.只允許員工的IP (或是VPN) 能登入跳板機
2.內部主機不開放外部IP連線,只允許跳板機的IP連線
雲端資安防護對策 2:以 Cloud IAP + BeyondCorp 控管使用者登入
Cloud IAP 是在 BeyondCorp 框架底下的一個重要實做 ,它可以做到連線到網站時就有身分驗證。另外還會確認使用者的情境,例如從哪一個IP連線、從哪一個國家、手機有沒有設密碼等等,最後再放行到應用程式。它管理的範圍真的超級廣,如果公司連裝置都納入管理 (Google Workspace/Cloud Identity 的裝置管理),那就是所有 BeyondCorp 的功能都實現了。
IAP 的實作細節這次我們先不提,需要的夥伴可以查看《[DDoS大作戰] BeyondCorp實作 – 設定 Cloud IAP 完全封鎖外部異常流量》。簡而言之,它可以做到使用者登入內部系統之前,必須要再做登入驗證:
不只這樣,如果使用 Google Workspace 或 Cloud Identity,還能強制啟用兩步驟驗證,幾乎可以防止外部人員登入系統。
▋延伸閱讀:
・[GCP 資安攻略] GCP 資訊安全各項功能簡介_BeyondCorp 安全模型
雲端資安防護對策 3:使用 Cloud KMS 加密儲存資料
其實 GCP 上的資料,不管是儲存時的加密(Encryption at rest),或傳輸時的加密(Encryption in transit),都已經有內建一些服務來保護你的資料。除此之外,還有所謂的 CMEK(Customer Managed Encryption Key),指的是客戶使用的代管式金鑰管理:Google 的 KMS(Key Management Service)。
KMS 可以讓你在 GCP 上建立自己的 key,讓你存資料時帶 key 進去加密,然後取資料也要帶 key 去解密資料。另外還能夠設定自動換 key,每個月換 500 個 key 都沒問題。另外,他現在也支援自己從地端匯入你的金鑰,讓 Cloud KMS 幫你保管,幫你給資料加密,不過地端的金鑰你就要自己保護好了。
你可能會想,那能不能自己管 key 呢?當然可以,使用所謂的 CSEK (Customer Supplied Encryption Key)可以讓你用地端的 key 來加密。但是,自己管就不要弄丟 key!key 丟了,沒有人可以救得回來喔!Google 只會放在它的暫存記憶體讓你存取資料時使用,但並不會幫你留 key 在 GCP上面。
雲端資安防護對策 4:啟用加密憑證連線
如果你在雲端有資料庫,傳輸時又怕被側錄,那可以使用 Cloud SQL 做為資料庫,它可以設定只允許連線的 IP,也可以啟用加密憑證連線。
Cloud SQL 會讓你下載三個憑證檔案,這樣一來在使用 Cloud SQL 時,傳輸的資料即使被攔截也無法輕易破解。詳細的做法可以參考《Cloud SQL安全連線密技part1 – 限定IP與強制SSL連線》一文。
以上四種方法,可以確保使用者登入系統操作以及傳輸資料時的安全,防止外人入侵或側錄資料。而這些功能都可以在 GCP 上找到對應的功能,如果各位想要在居家辦公的期間確保資訊的安全,可以找我們來試用 GCP 喔!
▋延伸閱讀:
・[GCP 資安攻略] GCP 資訊安全各項功能簡介
・淺談雲端平台的加密解決方案
・[DDoS大作戰] BeyondCorp實作 – 設定 Cloud IAP 完全封鎖外部異常流量
・淺談DevOps Security