防止資料竊取

電腦和網路安全性的一大功用,就是使未經授權的第三方無法存取機密資料。本文件將探討資料竊取風險的特性,並討論保護資料安全的業界最佳做法。另也將說明如何使用 Google Cloud Platform 的工具和功能降低風險,以及偵測和回應資料竊取事件。本文件會盡可能以無關雲端的脈絡來說明安全性威脅和防禦機制。法規環境不斷演進 (尤其在 2018 年,歐盟《一般資料保護規則》(GDPR) 成為強制性法規),使得部署資料竊取防範機制更顯重要。

資料竊取的定義

在本文件中,「資料竊取」的定義如下:如有獲授權的人員從安全的系統中擷取資料,並將資料分享給未經授權的第三方或移至不安全的系統,即稱為資料竊取。獲授權的人員包括員工、系統管理員和信任的使用者。資料竊取可能是意外,或是因惡意或有心人士的行為所致。

為了降低資料竊取的風險,機構必須隨時保有安全意識及採用最佳做法,並且持續在每次與電腦網路、裝置、應用程式、資料和其他使用者互動時,評估互動所帶來的風險。此外,機構還可決定定期進行稽核,以確認是否有遵循最佳做法。

在雲端面對資料竊取風險

許多傳統資料安全性策略所採用的做法,是強化私有網路的實體邊緣防禦機制。不過,雲端用戶無法控制服務所使用的實體網路基礎架構。在公用雲端中,主機供應商的網路架構是共用的,也沒有傳統意義上的邊緣。在雲端保護資料安全需要新的安全性做法和資料存取權稽核方法。

打個比方,在業界,公用雲端基礎架構是將商用硬體用於資料中心的先驅之一。雖然這可能會導致硬體故障率提高,但卻可透過備援功能和智慧服務架構,將故障事件造成的影響降到最低。在這類環境中,服務必須能夠順利減輕多起故障事件的衝擊。服務架構的設計已考量到硬體和網路故障的情形,會將多個機器和地理位置的處理、儲存、驗證和其他工作劃分開來,藉此將任一故障事件的影響降到最低。您應該要採取類似的做法來保護資料安全:您所設計的架構要能將停機時間縮至最短,並在受到安全性威脅時,減輕系統的其他部分所受到的影響。

為了滿足最注重安全性的客戶,公用雲端安全性模型融入了這樣的思維。Google Cloud Platform 提供受防護的 VM,其可提供 Compute Engine 虛擬機器 (VM) 執行個體的可驗證完整性,因此無須擔心執行個體遭受啟動或核心層級的惡意軟體入侵。受防護的 VM 會藉由使用安全啟動、啟用 vTPM 的測量啟動以及完整性監控功能,達到可驗證的完整性。

此外,供應商也可以在雲端虛擬機器 (VM) 中,部署專門用來產生使用者和主機活動相關遙測的代理程式。這可讓安全性作業中心 (SOC) 掌握在經常變動的安全防線內和防線周遭發生的各種活動。

供應商還推出了明確的堵塞點,例如用於與多組 VM 通訊的防禦主機、網路 Proxy 伺服器、網路輸出伺服器,以及跨專案網路。這些措施可降低資料竊取的風險,但無法讓風險歸零。

您的機構還必須針對資料竊取事件建立強大的偵測和回應基礎架構。只要採用適當的雲端基礎架構,您就能快速偵測出有風險或不當的活動、縮小這類活動的影響範圍,並盡可能不讓資料竊取人士有機可乘。

資料竊取事件類別

資料竊取事件可依常見的技術、機構和實體特徵來分門別類。在下列各節中,我們會探索其中幾種類別,並討論各個類別的防範和緩解策略。

外寄郵件

在這類情況中,資料竊取人士會使用經授權的電信基礎架構 (例如企業電子郵件或行動裝置),從安全的電腦系統中將機密資料傳輸到不受信任的第三方或不安全的私人系統。機密資料可能是以純文字或檔案附件的形式,透過電子郵件或簡訊傳輸。這種方法通常是用於竊取機構的電子郵件、日曆、資料庫、圖片、規劃文件、業務預測和原始碼內容。

許多電子郵件和訊息傳遞系統會將草稿儲存在雲端,因此在郵件送出時檢查是否有機密資料是不夠的。如果某人能夠從外部存取支援儲存草稿的企業電子郵件或其他訊息傳遞服務,就可使用這項功能竊取資料。只要先透過可存取機密資料的裝置和網路儲存草稿,再透過其他用戶端存取這份草稿,該人士就能規避記錄和稽核系統。

防範和緩解策略

這類情況牽涉到您的機構所選擇和授權的電信系統,相較於涉及私有或第三方工具的情況,您有更多選擇可防範資料竊取事件。

建議您實作下列其中幾種防範和緩解策略:

  • 監控使用者透過電子郵件和其他機構訊息傳遞工具傳輸的資料量和傳輸頻率。如果一般使用者每天平均傳送 5 MB 的資料,那麼傳送了 500 MB 資料的使用者就應觸發快訊。
  • 保留寄件用電子郵件地址、寄件用裝置和收件者地址的記錄。這些記錄有助於您掌握資料竊取事件的性質和影響範圍。您可以查看管理員安全性檢查清單,瞭解如何在 Gmail 企業版中稽核電子郵件帳戶以找出安全性風險。
  • 針對可存取機密資料的系統,掃描從這類系統傳送的電子郵件,確保當中未包含未經授權的內容。只要為機密內容加上關鍵字或井字號等標記,就能更輕鬆地進行這項作業。
  • 禁止透過不安全的管道 (例如使用 http 而非 https) 傳送郵件,並在有人嘗試進行這類行為時向 IT 安全人員發出快訊。

將資料下載到不安全的裝置

如果有使用者透過經授權的管道存取機密資料,然後將資料傳輸到不安全的本機裝置,即屬於這類情況。人員可能會使用筆記型電腦、智慧型手機、外部裝置、相機或專門的裝置來竊取機密資料,並可能會從雲端服務下載現有檔案,或將資料複製到新的檔案中。如果檔案傳輸到未受監控或不安全的裝置上,就很可能會遭到竊取。

防範和緩解策略

雲端網路在防範這類事件上佔有優勢。許多將資料傳輸到本機裝置的方法都需要與可傳輸的媒體建立實體連結。但如果資料儲存在雲端,就一定得先下載才能傳輸。這類下載行為會受限於託管服務和用戶端的安全性和追蹤功能。

建議您實作下列其中幾種政策和技巧:

  • 禁止下載極機密資料。視您的資料在雲端中的使用和處理方式而定,使用者可能永遠不需要將資料下載到本機硬體。請盡可能將所有資料存放在雲端,並在雲端執行所有運算作業。如果資料在技術上而言是可下載的,請建立一項政策來禁止下載行為、為機密資料分類和加上標籤,並針對透過安全互動和 API 呼叫要求和提供的資料保留資料存取記錄。詳情請參閱查看活動記錄一文。
  • 使用雲端存取安全性代理程式 (CASB),根據貴機構的安全性政策控管經授權用戶端和雲端服務之間的連線。
  • 使用數位版權管理 (DRM) 工具包裝檔案,為每個檔案套用會偵測權限的安全性和加密設定。
  • 在經授權的用戶端中實作動態浮水印,以記錄哪位使用者必須為包含機密資訊的電腦螢幕截圖或相片負責。

將資料上傳到外部服務

與前一個事件類別類似,這個類別往往涉及將機密資料下載到本機基礎架構的行為,然後人員再透過網路瀏覽器用戶端或其他未受監控的軟體,將資料上傳到第三方。第三方服務可能是看似無害的網站 (例如社交網路),而人員可能會不小心在當中上傳錯誤的圖片或貼上錯誤的文字。老練的惡意人士或許能夠將少量的機密資料 (例如使用者憑證或加密金鑰) 做為網址參數傳送至專門的網路應用程式。

防範和緩解策略

您可以透過相同的下載限制政策,防範在本機複製機密資料的行為,藉此降低這類事件的風險。但即使制定了政策,也可能會有人將螢幕擷取畫面或複製的文字上傳到社交媒體、檔案共用網站,或其他雲端服務。

可降低這類風險的安全性做法包括:

  • 禁止下載任何資料。將所有資料存放在雲端,並在雲端執行所有運算作業。必須透過受到保護和記錄的 API 互動來要求及提供資料。詳情請參閱查看活動記錄一文。
  • 禁止在可存取機密資料的裝置上安裝不安全的第三方軟體,例如社交媒體應用程式或未經授權的瀏覽器外掛程式。
  • 使用 CASB 控管來自雲端存取點的流量,並針對傳輸至用戶端的所有資料強制實行加密政策。

不安全的雲端行為

使用雲端服務後,會產生一些 IT 安全專家應留意的新資料竊取風險類別。這包含各式各樣的情況,全是因員工、使用者或管理員以不安全的方式使用雲端服務供應商套件的功能所致。只要是能夠要求或修改虛擬機器 (VM)、部署程式碼,或向雲端儲存或運算服務發出要求的人員,都有可能竊取資料。

雲端網路具有公用前端,並能夠與更廣泛的網際網路進行通訊。保護及授權雲端服務的行為,是確保資料安全的關鍵。具有足夠權限的人員可傳出機密資料、將機密資料從安全的容器移到較不安全的容器,或代表機構建立未經授權的雲端服務。

防範和緩解策略

如要確保雲端服務的行為安全無虞,就需要範圍精細的嚴謹權限設定和全面的記錄。盡可能禁止人員存取服務後端。針對員工或管理員需要在 VM 上完成的工作,這些工作大多都可使用安全且可監控的自動化代理程式和前端用戶端來進行。盡可能使用這些功能限制可直接透過 SSH 存取雲端機器的人數。在可能的情況下,掃描傳送到更廣泛的網際網路的所有資料,找出當中的機密資訊。針對會處理外部使用者或系統資訊的應用程式,建議您掃描這些資訊,以免在無意間收集、儲存或分享個人識別資訊 (PII) 等機密資料。

針對雲端中的 VM,請考慮下列安全性原則:

  • 在 VM 中設定 IP 表,禁止向外連線至不明位址。這可降低人員成功將機密資料傳輸至網路外的風險。
  • 避免提供 VM 的公開 IP 位址,並使用網路位址轉譯 (NAT) 服務處理連入和連出連線。詳情請參閱 Compute Engine 的 NAT 閘道設定指南
  • 建議您在雲端使用防禦主機來中介及監控與其他主機的連線。
  • 針對不需要遠端桌面通訊協定 (RDP) 或 Windows 遠端管理 (WinRM) 代理程式等遠端管理軟體的機器,停用這類軟體。
  • 使用私人 Google 存取權在子網路上啟用虛擬機器 (VM) 執行個體,以透過內部 IP 位址而非外部 IP 位址連線至 Google API 和服務。
  • 建議您使用跨專案網路 (XPN),讓您 Cloud Organization 中的各項專案共用 Google Cloud Platform (GCP) 虛擬網路。
  • 只允許有重大需求而必須存取 VM 的人員直接透過 SSH 存取 VM。Google Compute Engine 提供全方面的 SSH 金鑰管理工具,方便您控管 VM 的存取權。

針對 Cloud StorageCloud BigTable 等雲端儲存服務,下列做法可降低資料竊取的風險:

  • 使用身分與存取權管理 (Cloud IAM),為使用者和應用程式提供一組存取資料所需的最低限度權限。將具有不同機密度和存取限制條件的資料儲存在不同的容器中,以盡可能提高權限的精細度。
  • 監控及限制可從儲存空間資源讀取資料的速率。使用監控代理程式,在有人企圖移動遠超出一般用量的資料時,向您的安全小組發出快訊。
  • 讓極機密資料的權限只有短暫效期,並經常檢查及撤銷這類權限。例如,App Engine 配額在此或許可派上用場。
  • 由人工團隊定期稽核可存取極機密容器的人員。
  • 針對儲存空間服務的所有存取事件保存完整記錄。在理想情況下,可存取儲存空間服務的人員要與可存取記錄的人員分開。這樣可降低惡意人士竄改記錄的風險。建議您使用 Cloud Storage 存取記錄公用程式,將記錄資料寫入獨立的儲存空間值區。
  • 參閱更詳盡的 Cloud Storage 安全性最佳做法

使用安全性政策以遵循法規

Google Cloud Platform (GCP) 提供豐富的基礎架構,讓客戶有許多機會依自身需求開發解決方案。與此同時,豐富的基礎架構也帶來了新的挑戰,例如針對機構的各種不同專案實施所需的安全性政策。為了簡化安全性管理作業,GCP 推出了可包含所有資源的實體階層。這個階層源自機構的概念。機構可視需要包含資料夾或專案,而資料夾可視需要包含子資料夾或專案。所有 GCP 服務資源都屬於某項專案。

只要使用「機構 -> 資料夾 -> 專案 -> GCP 服務 -> 資源」這個階層,您就能在任何層級設定安全性政策,並讓低層級項目沿用高層級項目的安全性政策。系統會依資源階層上層到下層的順序評估安全性政策,並在取得「允許」回應時立即授予資源的存取權。

遵循法規

資源階層和安全性政策的沿用簡化了稽核作業,可確保所需的安全性政策皆一致受到遵循。舉例來說,透過沿用屬性,管理員可證明所有專案都可由同一組稽核人員檢查其資料,方法是在機構層級設定這類安全性政策,且一律不在較低層級覆寫這項政策。這些安全性政策是在軟體稽核活動中指定,且其驗證作業可自動進行。

找出並遮蓋機密資料

想要管理機密資料,第一步就是掌握它們的位置。找出機密資料後,您就能在準備更充分的情況下進行存取權控管設定,確保存取權/處理方式皆得宜,並透過遮蓋、掩蓋或去識別化資料等技巧降低資料的機密性。資料經遮蓋後,就不再帶有機密性質,例如不再是特定身分證字號、有效信用卡號碼,或個人識別資訊 (PII)。

在過去,遮蓋大量多元資料的挑戰在於需要自動辨識、分類及妥善遮蓋這些資料。隨著技術的演進,如今系統可自動推斷資料欄位中的內容。由於系統能夠自動分析任意資料串流到這種程度,使得應用程式可決定要將哪些資料傳送到哪些端點、要使用哪些系統儲存正在管理的各種資料,以及要在什麼情況下發出快訊,指出特定種類的資料正在傳輸。

防範和緩解策略

Google Cloud 的 Data Loss Prevention (DLP) API 可讓您瞭解及管理機密資料。它具有執行快速和可擴充的優點,能分類和視需要遮蓋機密資料元素,例如信用卡號碼、姓名、身分證字號、護照號碼、美國和特定國際駕照號碼,以及電話號碼。Cloud DLP 支援文字、結構化資料和圖片,只要將資料提交至 Cloud DLP,或指定儲存在 Google Cloud Storage、BigQuery 和 Cloud Datastore 執行個體中的資料即可。Cloud DLP 的結果可用於自動監控身分與存取權管理 (Cloud IAM) 設定、資料落地或其他政策,或是提供相關資訊。Cloud DLP 還可協助您遮蓋或遮蔽資料的特定部分,藉此降低資料的機密度,也有助於依據最低許可權限政策或有知情必要政策,達成資料最小化原則。例如針對結構化或任意文字資料進行遮蓋、格式保留加密、符記化以及值區分類,均是可用的技巧。

惡意管理員

大部分電腦系統的設計,是讓指定管理員獲得不受限制的權力。惡意或有心的管理員將有足夠的權限從事本文件所討論的任一行為,而且還最有能力抹除自身行為的記錄和證據。如要降低這類風險,就必須將對網路各個部分的權力和權限分離,並讓管理員能夠彼此監控。

防範和緩解策略

如要降低惡意管理員帶來的風險,就必須限制任何單一人員的權力。

為了完成獲指派的工作,管理員將能夠竊取資料,但您可以採用下列原則,在發生這類事件時縮小影響的範圍和規模:

  • 將管理員的操作記錄在他們無法存取的地方,藉此保護大型網路,不受管理員的瀆職行為所影響。透過獨立的安全小組來管理服務監控和記錄作業。
  • 建議您讓所有管理員存取權都只有短暫效期。在許多網路中,管理員不需要永久存取權。
  • 要求多位人員核准管理性質的操作。只要將所有管理性質的操作當做需要核准的原始碼,您就能降低由單一人員所帶來的風險。

員工離職

卡內基美隆大學軟體工程研究所的電腦緊急回應團隊 (CERT) 在一份 2011 年的論文中指出,員工如果預期自己即將離職,就更有可能從事資料竊取行為。員工在待離職期間的資料竊取風險較高,需要 IT 安全小組的額外關注。

防範和緩解策略

如果網路含有極機密的資料,建議您將記錄和監控系統連線至用來記錄誰即將離職的人力資源軟體,並針對在何種情況下要向安全小組通知這些使用者的異常行為設定較保守的門檻。

結論

如要享有公用雲端基礎架構的彈性、低廉成本和強大功能,就必須提高警覺,並採用新的做法來保護資料不受竊取。您可以使用本文件所述的技巧設計機構的政策和實作架構,藉此因應這類環境:

  • 透過資料劃分來縮小資料竊取事件的影響範圍。
  • 在系統管理員工作流程中建立備援和核准機制來提高責信度。
  • 使用精細的權限,並只向有職責需求的人員授予機密資料的存取權。
  • 使用記錄來提高機構資料存取和移動行為的透明度。
  • 使用網路規則、身分與存取權管理 (Cloud IAM) 和防禦主機限制及監控機構中機器的輸入和輸出。
  • 建立一般資料傳輸基準來比較異常行為,例如存取或傳輸的資料量,以及存取行為的地理位置。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
說明文件