香港中小企雲端安全實用指南
如何保護您的雲端環境——Microsoft Azure、AWS、Google Cloud及SaaS應用程式——為沒有專職雲端安全團隊的香港中小企提供實用指引。
如何保護您的雲端環境——Microsoft Azure、AWS、Google Cloud及SaaS應用程式——為沒有專職雲端安全團隊的香港中小企提供實用指引。
理解雲端安全最重要的概念是共同責任模型。雲端供應商(AWS、Microsoft Azure、Google Cloud)負責保護底層基礎設施——實體硬件、虛擬機監控程式層、網絡基礎設施及核心平台服務。雲端客戶——您的企業——負責在此基礎設施之上構建的一切:您的數據、您的存取管理、您的應用程式配置、您的網絡設定及您的合規義務。誤解這一界限是許多雲端安全事故的根本原因。
對於軟件即服務(SaaS)應用程式——Microsoft 365、Google Workspace、Salesforce、Xero及類似的雲端交付應用程式——供應商管理更多的堆疊,但客戶仍保留對身份和存取管理(誰能存取什麼)、數據配置(什麼數據與誰共享)及安全設定(是否要求MFA、配置什麼保留政策)的責任。「在雲端所以供應商負責安全」是一個危險且不正確的假設,已導致香港企業發生重大數據洩露。
識別您的企業對所使用的每項雲端服務所承擔的具體安全責任,是雲端安全的起點。雲端安全清單——列出每項SaaS和IaaS服務、供應商的責任及您企業的具體責任——提供了有效雲端安全管理所必需的清晰認識。HKPC ↗的雲端安全指引提供了適合香港中小企的框架,每個主要雲端供應商都發布了詳細的共同責任文件,明確說明供應商責任在哪裡結束、客戶責任從哪裡開始。
身份是雲端環境中的新邊界。傳統IT安全依靠網絡防火牆控制對資源的存取,而雲端資源可從任何地方透過有效憑證存取。這使身份和存取管理(IAM)成為雲端環境中最關鍵的安全領域。強大的IAM即使攻擊者獲得有效憑證也能阻止未授權存取;薄弱的IAM意味著任何被入侵的帳戶都能廣泛存取雲端資源。
對於Microsoft 365和Azure環境——香港企業最常用的雲端平台——Microsoft Entra ID(前身為Azure Active Directory)是中央身份服務。香港中小企的關鍵Entra ID安全配置:為所有用戶(不僅是管理員)啟用MFA,使用Microsoft Authenticator推送通知或FIDO2密鑰;配置條件存取政策,要求從不熟悉位置存取時使用合規設備或提供額外驗證;啟用Entra ID保護,使用Microsoft的機器學習偵測和回應可疑登入活動;停用繞過現代身份驗證管控的傳統身份驗證協議(SMTP AUTH、基本身份驗證)。
雲端環境中的權限最小化解決了一個常見配置錯誤:過度授權的帳戶和服務身份。Microsoft 365中的全域管理員帳戶應限制在2-3名指定人員供緊急使用,而非用於日常管理。AWS根帳戶存取應透過硬件MFA密鑰保護,從不用於常規操作。具有最低權限的IAM角色應分配給應用程式和服務,而非使用管理員憑證。定期存取審查——審核誰在雲端環境中擁有哪些權限——能發現隨時間累積的權限蔓延。
大多數香港中小企依賴不斷增長的SaaS應用程式組合——Microsoft 365、Google Workspace、Xero或QuickBooks Online、Salesforce或HubSpot、Slack或Teams、項目管理工具及人力資源系統。這些應用程式各自持有敏感業務數據,需要特定的安全配置。對中小企的挑戰在於,每個SaaS供應商呈現不同的安全設定界面,複雜程度不同,預設配置可能代表也可能不代表良好的安全實踐。
香港中小企SaaS安全的務實方式,專注於每個應用程式的三個配置領域:存取控制(誰能登入、使用何種身份驗證方法、從哪些設備)、數據共享管控(什麼數據可以對外共享、與誰共享及在何種條件下)以及審計記錄(安全相關事件是否被記錄和監控)。大多數企業級SaaS產品都有集中這些設定的安全配置中心或信任入口。對於Microsoft 365,Microsoft的安全分數提供了具體的安全改進路線圖,帶有清晰的優先排序建議。
第三方應用程式整合——允許一個應用程式存取另一個應用程式數據的SaaS應用程式之間的OAuth連接——在雲端環境中造成影子IT風險。員工通常在IT不知情的情況下授權第三方應用程式存取企業Google Workspace或Microsoft 365數據。一個流氓或安全保護不足的第三方應用程式獲准存取您的企業電郵或文件,是重大數據暴露風險。定期在Google Workspace管理控制台或Microsoft 365管理中心審查和撤銷未使用的第三方應用程式授權,可防止這些隱性權限的累積。
許多香港企業有一個關鍵誤解,認為雲端供應商會備份您的數據。雲端供應商保護其基礎設施免受故障影響——他們保證存儲服務的可用性和耐久性——但不保護免受用戶啟動的刪除、勒索軟件加密雲端同步文件或意外覆寫。Microsoft、Google和AWS都明確說明數據備份是客戶的責任。許多香港企業在意外刪除或勒索軟件加密雲端同步文件後,才太遲地發現這一區別。
保護Microsoft 365數據需要第三方備份,因為Microsoft的原生保留政策是為合規目的設計的(防止過早刪除),而非數據恢復。包括Veeam Backup for Microsoft 365、Datto SaaS Protection和AvePoint Cloud Backup在內的產品,提供獨立於Microsoft保留設定的Microsoft 365郵箱、SharePoint文件、OneDrive和Teams數據的時間點恢復。同樣,Google Workspace數據應使用提供項目級精細恢復的第三方方案進行備份。
不可變備份——即使管理員也無法修改或刪除的備份副本——是針對針對備份系統的勒索軟件變種的關鍵防禦。勒索軟件操作者日益在部署主要勒索軟件負載之前識別和加密或刪除備份副本,確保受害者沒有恢復選項。支持不可變存儲的備份方案(AWS S3中的對象鎖定、Azure Blob不可變性政策,或實施WORM存儲的備份平台),即使在勒索軟件操作者系統性地針對備份基礎設施時也能保留恢復能力。
