鬼故事 - 什麽东西我都要拿在手上

Credit: 九品芝麻官

故事开始

小路是小华同公司的 Pre-sales engineers，又称要卖产品又要做支援的工程师，
今天是小路跟我们介绍一些他见过的问题，

1. 价格最低标，近年来有比以往改善，状况是不论品质只看产品名称，通常会看到为了合规的单位会这样买东西。

   我们也不能说这种买法是错的，政府为了避免图利特定厂商不将规格写太明确，让各位去资讯服务采购网上面自行找，但小型单位预算有限，这也出现了专门帮人合规的厂商，如果这种合规厂商能够解决部分问题就好了，但往往都是没甚麽用。

2. 甚麽都要贴标签，云端主机？不行，你要有标签，至少给我一台主机

   当事人小路表示？？？之後去了解，因为以往制度没有云端服务这种概念，所以这类人员还是以我要有主机上面贴标签才算的方式盘点资产。

3. 什麽东西我都要自己有

   邮件服务器? 我要自己有。公司要做电商? 我要自己建。需要东西储存资料? 我买台 NAS 摆着裸奔在外面。而这也是我们今天要探讨的主要内容

资安探讨

这篇也是我一直很想写的，尤其是当我看到邮件服务器一直被挖了很多漏洞，
但许多单位根本没力气或是时间去修补。
所以我就想写一篇，为甚麽有时候你不需要拥有自己的OOO，而这边我想用邮件服务器举例，
但实际上对应的东西可以替换到其他的设备，也是同样的概念。

安全边界(Security Boundary)

首先我们需要看一下安全边界这件事，
以下是 CSA Stack Model 在云端安全上面做的大致边界划分，
接下来我们会来聊一下里面的概念。

因为图是三种不同类型的云端服务为介绍，所以我们就以此来延伸吧。
IaaS 基础设施为服务，你在起一台 VM 你需要维护其功能稳定性、硬体安全性(加密等级...)，所以框框里面需要注意的事情很多，如你买一台硬体需要注意的安全问题也就很多，记住可用性也是资安的考量之一。
PaaS 平台为服务，厂商将服务打包好给你串接、开发，所以安全问题会出现在串接的设定/软件安全上。
SaaS 直接提供服务给你，你需要注意的安全范围就缩小了，因为服务器的安全转交给云端厂商，而你需要注意的安全是资料权限、资料保护、呈现等...

大致上了解这些後，我们用邮件服务器来举例吧。
当你自建邮件服务器你至少有以下几件事情需要注意：

• 服务器硬体安全
• 服务器系统安全
• 邮件服务器软件安全
• 权限设定

我们以近期被挖了很多的 Exchange 漏洞为例吧，这些都是邮件服务器软件安全，
当然可能云端版本也可能有类似的漏洞，但这些当你使用邮件服务器的 SaaS 服务的时候，
维运、安全更新的成本就转嫁到了云端服务供应商身上了，这也就是安全边界的不同，
这时候你只需要注意你的服务权限设定是否安全。

各位看完这些可以思考：

• 在你维护/资安人力不足时，你真的需要拥有自己的OOO吗
• 你正在使用的产品/服务的安全边界是甚麽
• 如果安全边界的问题不能改变，是不是能从缩减存取这件事着手，例如 Exchange 做 hybrid 模式，普通人无法直接连线你的 exchange，而是连线到 SaaS 的 Mail Server，从而减少被打的可能性。

参考连结

• https://www.tutorialride.com/cloud-computing/security-in-cloud-computing.htm
• https://docs.microsoft.com/zh-tw/exchange/exchange-hybrid