歡迎來到 CND Module 12:Enterprise Cloud Network Security (企業雲端網路安全)。本模組重點在於理解雲端運算的共享責任模型、部署模式以及如何保護雲端環境中的資料與應用程式。
根據 NIST SP 800-145,雲端運算必須具備五大特徵。作為網路防禦者,理解這些特徵有助於識別潛在的攻擊面。
不同的服務模型決定了客戶與供應商之間的管理範圍。
| 模型 | 全名 | 客戶管理責任 (你負責防禦的範圍) |
|---|---|---|
| IaaS | Infrastructure as a Service | 作業系統 (OS)、應用程式、數據、中介軟體、運行環境。例如:AWS EC2, Azure VM。 |
| PaaS | Platform as a Service | 應用程式、數據。OS 由供應商修補。例如:Google App Engine, AWS Lambda。 |
| SaaS | Software as a Service | 僅負責數據與存取控制 (IAM)。例如:Office 365, Dropbox, Salesforce。 |
在雲端中,安全性是雲端供應商 (Cloud Provider) 與客戶 (Customer) 的共同責任。這是 CND 考試的重中之重。
教練提示:如果考題問「誰負責修補 EC2 實例上的 Windows Server 漏洞?」,答案永遠是「客戶」。如果是「誰負責更換壞掉的硬碟?」,答案是「供應商」。
CASB 位於雲端服務消費者與雲端服務提供者之間,用於執行安全策略。
在雲端環境中,身分 (Identity) 是新的邊界。
由於缺乏對實體交換機的存取權,傳統 Sniffer 難以部署。
隨著雲端原生應用普及,Docker/Kubernetes 安全至關重要。
參考 OWASP Cloud Top 10 與 CSA Treacherous 12。
以下 10 題為 EC-Council 風格的情境題。請選擇最佳的防禦策略。
Question: 一家新創公司決定將其所有電子郵件服務遷移到 Microsoft Office 365。公司的 CISO 擔心雖然這減輕了維運負擔,但可能會失去對底層硬體的控制。根據雲端責任共擔模型,在這種 SaaS 模式下,誰負責維護實體伺服器的安全性?
Question: 您是公司的網路防禦者。最近發現有員工使用個人的 Dropbox 帳號上傳公司內部的敏感設計圖,這繞過了公司的防火牆策略。這種現象稱為什麼?您應該部署哪種技術來偵測並阻擋此類行為?
Question: 公司在 AWS 上使用 EC2 實例 (IaaS) 部署了一個 Web 應用程式。最近該伺服器因為未修補的 OS 漏洞而遭受勒索軟體攻擊。管理層詢問為何 AWS 沒有阻止這次攻擊。您該如何解釋?
Question: 您需要調查一起發生在雲端環境中的潛在資料外洩事件。您懷疑攻擊者透過 API 頻繁存取了儲存桶。為了重建攻擊者的活動軌跡(包括來源 IP、API 呼叫時間、用戶身分),您應該查看以下哪種日誌?
Question: 根據多項資安報告,導致雲端資料外洩 (Data Breach) 最常見的原因是什麼?這通常發生在 S3 bucket 或 Elasticsearch 集群上。
Question: 某銀行希望利用雲端的彈性,但受限於法規,客戶的財務核心資料必須存放在銀行自有的資料中心內,而前端網頁伺服器則部署在公有雲上以應對流量高峰。這種部署模式稱為什麼?
Question: 攻擊者獲得了開發人員的存取金鑰 (Access Key),並利用此金鑰刪除了所有的備份資料。為了防止這種帳戶劫持造成的損害,除了定期輪換金鑰外,您最應該強制實施哪項控制措施?
Question: 在多租戶 (Multi-tenant) 的公有雲環境中,為了防止不同客戶之間的網路流量相互干擾或被嗅探,雲端供應商通常使用哪種技術來邏輯隔離網路?
Question: 公司正在將應用程式容器化 (Containerization) 並使用 Docker。您擔心開發人員可能會從 Docker Hub 下載包含惡意軟體或漏洞的映像檔。您應該在 CI/CD 流程中整合什麼步驟?
Question: 一個大型電子商務網站擔心即將到來的購物節流量會導致伺服器崩潰(可用性攻擊)。雲端運算的哪一個特徵最能協助該公司自動應對這種突發流量,而無需手動介入?