SSH 專家服務：助企業分析 SSH Key 環境以符合法規

SSH 對於真正的專業網管人來說，相信都會時常使用到，通過 SSH 可以讓管理員更方便進入遠端系統的指令模式之中，從而進行各種不同的工作；傳統上，為了提高整體安全性，很多時企業都會啟用 SSH Key，從而強制用户於成功進入登入部份前，便需先行附上 SSH key 檔案以完成認證過程。

SSH key 多如牛毛、企業應如何管理？

當啟用了 SSH Key 等密鑰認證功能後，可以想像到的便是企業之中將會存在大量 SSH Key 的檔案(例如是 .ppk) 檔案，而這些獨立存在於員工電腦之中的 ppk，很多時都難以管理，而且員工離職後，又要及時處理好這些 .ppk 以符合公司法規及審計要求，否則日後年度審計時，便真的「PK」了。

近日 SSH Communications Security 便委託了 Forrester Consulting 調查公司於網上訪問了超過 150 間大型美國企業，發現超過 80% 有採用 Secure Shell，當中有一半沒有監察其 Secure Shell 授權及存取的情況，更有一半沒有在員工離職或外判商完成項目後刪除其 Secure Shell 密鑰，為業務帶來明顯風險。

對於指定行業，例如是大型金融機構、企業和政府機關等，她們需要嚴格遵從法規，因此在管理 Secure Shell 密鑰的問題上，便不得不重視一下；事關審計失敗會令這些機構蒙受罰款而招致重大損失。

近日 SSH Communications Security 便針對有關部份推出 Secure Shell HealthCheck，通過其管治方法、風險和法規（GRC）服務從而確保企業合規及抵禦數據外洩；這項服務能幫助企業在 IT 環境中管理、配置和存取監控 Secure Shell 時，找出重大風險和違規情況，以降低審計失敗和由黑客或內部人員惡意造成的網絡安全漏洞。

該服務的過程分為三個階段：造訪、檢視和匯報，整個過程可於五天內完成，而且只需花費員工數小時。該服務確保用家符合法規和行業標準，並以下列方式幫助修復 Secure Shell 密鑰管理不善的問題：

1.全面分析 Secure Shell 環境，包括互信關係、SSH 密鑰位置、存取權責分配及其他十項存在顯著風險的領域。

2.深入分析和提供建議。

3.讓首席資訊安全總監透徹了解網絡環境，並提供風險管理報。

4.提供多項法規分析，包括新加坡金融管理局（MAS）、信用卡行業資料安全標準（PCI-DSS）、巴塞爾協定三（BASEL III）和美國國家標準技術研究所（NIST）。

亞太區中只有少部分金融機構和主要政府機關意識到過分寬鬆的 Secure Shell 密鑰管理方法會帶來風險，導致企業在不知不覺間遭受由黑客或員工惡意造成的重大安全威脅，曾經有一家在新加坡營運的全球五大銀行，在其超過 150 萬個 Secure Shell 密鑰當中，有 10% 屬不知名卻具高存取權限，該銀行因此違反了新加坡金融管理局的科技風險管理指引。其實企業應每年至少更換 Secure Shell 密鑰一次，才能妥善管理其密鑰認證系統。