雲端資安是什麼?企業如何維護雲端安全性
雲端技術應用日漸廣泛,無論是企業還是個人,只要連上網路就可以輕鬆在雲端上對電腦或伺服器下指令,而雲端防護也成資安單位的重要課題。雲端安全有什麼挑戰?雲端資安由誰把關?企業可以如何加強雲端安全防護?本文將深入探討雲端防護的定義、常見的資安威脅和挑戰,並進一步介紹雲端資安的責任劃分,還有雲端平台和使用者的雲端防護解決方案。
雲端防護是什麼?
雲端防護顧名思義指針對雲端運算環境中的資料、應用程式、IT 基礎設施等資訊安全防護措施,包含對於存取權限管理、資料治理、災難復原與合規性等方面的安全政策、最佳做法和技術應用。適合的雲端防護措施,可保護機敏資料和運算資源免受於網路攻擊的威脅。
雲端運算是一種透過網路連線提供運算資源的技術,讓使用者可以輕鬆共享遠端的軟硬體等資源,減輕使用者建置硬體設施和部署運算資源的 IT 負擔。
【想更深入了解雲端運算的原理、類別與應用,歡迎參考《雲端運算是什麼》。】
雲端安全性為什麼很重要?
近年隨著網路科技和硬體設備發展,雲端技術使用日漸普遍,無論是企業還是個人使用者都有更多機敏資料存放在雲端運算環境中。同時,希望透過竊取資料、破壞目標資訊系統,或甚至只是打算惡作劇的駭客,也就把歪腦筋動到雲端架構上了。
企業機敏資料遭竊,後果不堪設想,從聲譽受損、營運停擺到重大商業損失都有可能發生。根據 IBM 的統計,出現資料竊取的安全事件,企業平均會損失逼近 5 百萬美元。而無論是否使用雲端運算技術,網路攻擊的威脅都潛伏於四處,例如釣魚攻擊、勒索軟體、資料竊取、基礎建設架構受攻擊等等。IBM 2024 年統計到的資料外洩的安全事件分別發生於混合雲(40%)、公有雲(25%)、地端(20%)和私有雲(15%),可見雲端資安威脅的嚴重性不容忽視。
晟崴小知識:
公有雲:由第三方(例如 AWS、Azure 和 Google Cloud)提供並通過網路共享的雲端資源。
私有雲:為單一企業專門構建的專屬雲端運算環境,不與其他企業共享。
混合雲:公有雲、私有雲與地端混合的環境,企業資料可以自由在不同架構中移動。
而相比於傳統的地端運算環境,由於透過網路傳遞資訊和實體機器放置於遠端,雲端架構還可能出現其他安全上的挑戰。例如:
-
低可視性:實際執行任務的伺服器和硬體等運算資源,放置於企業資訊系統以外,監控雲端資源的困難度提升。
-
雲端架構設定錯誤:雲端基礎架構的設置仰賴專業技術,若對雲端產品/服務或企業需求不熟悉,可能導致設定上的錯誤,增加資安漏洞。另外,若雲端運算架構過於複雜,也會因為內含不同的系統、服務和應用程式,而讓整體可攻擊的位置增加。每個元件例如虛擬機、資料庫、API 和儲存系統,都可能存在潛在的漏洞。而多雲或混合架構的情況下,跨平台管理安全性變得困難,也容易出現配置錯誤,無法全面監控等雲端安全問題。
-
合規問題:為了加強資訊安全,有些產業的企業或機構需要遵循政府或內部資安規定,比方說限制只能使用資料中心位於特定地區的雲端服務,甚至禁止使用公有雲等等。
雲端資安誰負責?
雖然使用雲端運算解決方案,企業對 IT 資源的掌握性降低,但第三方服務提供商同時也會負責資安措施,和企業共同為雲端安全性把關。多數企業使用的雲端運算服務可以分為:IaaS 基礎設施即服務、PaaS 平台即服務和 SaaS 軟體及服務三種,簡單來說三種類型以雲端服務供應商負責的內容作為分野。
-
IaaS:提供企業進行運算所需的基礎資源,包含硬體資源、網路、伺服器和虛擬化等。
-
PaaS:以 IaaS 內容為基礎,另外提供企業開發應用程式的執行環境、中介程式和作業系統。
-
SaaS:提供完整的應用程式,讓企業可以直接透過網路使用。
雲端平台和服務供應商也會針對自己的服務和產品加強資訊安全措施,而企業則需負責剩下的部分,以及使用者管理。明確的工作分配也有助於雲端平台與企業分別專注不同的領域,提升資安維護效能。
|
基礎設施即服務 IaaS |
平台即服務 PaaS |
軟體及服務 SaaS |
|
使用者管理(Users) |
使用者管理(Users) |
使用者管理(Users) |
|
應用程式(Application) |
應用程式(Application) |
應用程式(Application) |
|
資料(Data) |
資料(Data) |
資料(Data) |
|
執行環境(Runtime) |
執行環境(Runtime) |
執行環境(Runtime) |
|
中介程式(Middleware) |
中介程式(Middleware) |
中介程式(Middleware) |
|
作業系統(Operating System) |
作業系統(Operating System) |
作業系統(Operating System) |
|
虛擬化(Virtualization) |
虛擬化(Virtualization) |
虛擬化(Virtualization) |
|
伺服器(Server) |
伺服器(Server) |
伺服器(Server) |
|
儲存硬體(Storage) |
儲存硬體(Storage) |
儲存硬體(Storage) |
|
網路(Networking) |
網路(Networking) |
網路(Networking) |
*黑字為使用者負責;藍字為服務供應商負責
雲端資安機制有哪些?
提供公有雲服務的雲端平台 AWS、Azure 和 Google Cloud 為提升其服務品質和取得客戶信任,致力於保護其資料中心安全性,並投入大量資源和成本在維持雲端安全上。全球三大雲端平台採用的安全措施包括:
-
資料中心硬體安全維護:除了人為的網路攻擊以外,雲端資料中心也可能因為自然或其他災害而出現停機問題,例如火災、水災、風災、地震等等。因此雲端平台特別慎選資料中心的地理位置,降低受到災害影響的機率,並設置火災偵測和滅火設備,安排儲備能源供應、冷卻系統和網路連線等解決方案。
-
備援系統:雲端平台設計考量到主機因為任何問題停擺的情況,有規劃應急部署,負責處理受影響機器的工作量。
-
實體機器存取限制:資料中心出入管制嚴格,僅開放有作業需求的內部員工或第三方人員申請,採最小信任原則,將授權內容最小化,並有存取時間限制。配置保全人員、使用生物識別、設定伺服器鎖定、安裝整合式警報系統等。
-
全年無休監控:為了確保雲端安全,平台也會以高畫質的 CCTV 24 小時持續監控實體資料中心,注意有無未授權的人員出入。同時紀錄機台上的任何存取活動,以監測是否有可疑活動,並作為日後加強資安措施的參考資料。
-
設備維護:定期預防性維護和更新設備,檢查是否有漏洞和承受攻擊的風險,且評估和規劃資安問題緩解方式。
-
資安研究:網路惡意攻擊變化快速,了解最新的資安研究,也可以協助雲端平台強化資安措施。因此也有雲端平台和資安研究組織合作,深入研究不同網路攻擊的最新趨勢。
-
加密措施:保護存放於雲端資料中心與傳輸中的資料安全,雲端平台會將資料加密。即使資料外洩或髒竊取,也未必能被解讀和利用。
-
合規要求:遵照國家、地區或產業特殊的資訊安全規則和標準,並定期接受第三方機構認證,讓企業在利用雲端運算提升效率時,符合法規要求。
雲端資安解決方案
除了雲端平台所用的安全機制以外,使用雲端運算服務的企業也有許多可以加強資安的作法:
-
文件加密:自行將企業資料加密,減少資料意外洩漏後被利用的機會。
-
零信任架構:對於來自企業外部和內部的存取請求都一視同仁,要求進行身份認證,不因請求來自企業內部,而無條件排除威脅的可能性。
-
多因子認證 MFA:管制企業存放於雲端的運算資源之權限,透過多種方式認證身份,確認使用者有合法權限。
-
MDR 威脅偵測應變服務:監控雲端環境和資安事件,偵測到異常活動時,第一時間發出警告,協助企業即時處理,將受影響範圍縮至最小。
-
安全資訊與事件管理 SIEM:全方位整合、管理安全資訊事件,並自動監控與偵測雲端環境中的威脅,或導入 AI 技術分析應用程式和網路設備的活動紀錄資料,面對資安威脅即時應變。
晟崴科技提供多種資安解決方案,協助企業安全利用雲端技術,實現不同業務需求,提升營運效率。但同時又做好萬全雲端安全防護,定期掃描與修補漏洞、加強監控和反應速度,將受到網路攻擊的可能性降至最低。
立即聯絡晟崴科技協助您做好雲端安全
