云端资安是什么?企业如何维护云端安全性
云端技术应用日渐广泛,无论是企业还是个人,只要连上网路就可以轻松在云端上对电脑或伺服器下指令,而云端防护也成资安单位的重要课题。云端安全有什么挑战?云端资安由谁把关?企业可以如何加强云端安全防护?本文将深入探讨云端防护的定义、常见的资安威胁和挑战,并进一步介绍云端资安的责任划分,还有云端平台和使用者的云端防护解决方案。
云端防护是什么?
云端防护顾名思义指针对云端运算环境中的资料、应用程式、IT 基础设施等资讯安全防护措施,包含对于存取权限管理、资料治理、灾难复原与合规性等方面的安全政策、最佳做法和技术应用。适合的云端防护措施,可保护机敏资料和运算资源免受于网路攻击的威胁。
云端运算是一种透过网路连线提供运算资源的技术,让使用者可以轻松共享远端的软硬体等资源,减轻使用者建置硬体设施和部署运算资源的 IT 负担。
【想更深入了解云端运算的原理、类别与应用,欢迎参考《云端运算是什么》。 】
云端安全性为什么很重要?
近年随着网路科技和硬体设备发展,云端技术使用日渐普遍,无论是企业还是个人使用者都有更多机敏资料存放在云端运算环境中。同时,希望透过窃取资料、破坏目标资讯系统,或什至只是打算恶作剧的骇客,也就把歪脑筋动到云端架构上了。
企业机敏资料遭窃,后果不堪设想,从声誉受损、营运停摆到重大商业损失都有可能发生。根据 IBM 的统计,出现资料窃取的安全事件,企业平均会损失逼近 5 百万美元。而无论是否使用云端运算技术,网路攻击的威胁都潜伏于四处,例如钓鱼攻击、勒索软体、资料窃取、基础建设架构受攻击等等。 IBM 2024 年统计到的资料外泄的安全事件分别发生于混合云(40%)、公有云(25%)、地端(20%)和私有云(15%),可见云端资安威胁的严重性不容忽视。
晟崴小知识:
公有云:由第三方(例如 AWS、Azure 和 Google Cloud)提供并通过网路共享的云端资源。
私有云:为单一企业专门构建的专属云端运算环境,不与其他企业共享。
混合云:公有云、私有云与地端混合的环境,企业资料可以自由在不同架构中移动。
而相比于传统的地端运算环境,由于透过网路传递资讯和实体机器放置于远端,云端架构还可能出现其他安全上的挑战。例如:
- 低可视性:实际执行任务的伺服器和硬体等运算资源,放置于企业资讯系统以外,监控云端资源的困难度提升。
- 云端架构设定错误:云端基础架构的设置仰赖专业技术,若对云端产品/服务或企业需求不熟悉,可能导致设定上的错误,增加资安漏洞。另外,若云端运算架构过于复杂,也会因为内含不同的系统、服务和应用程式,而让整体可攻击的位置增加。每个元件例如虚拟机、资料库、API 和储存系统,都可能存在潜在的漏洞。而多云或混合架构的情况下,跨平台管理安全性变得困难,也容易出现配置错误,无法全面监控等云端安全问题。
- 存取权限控管:透过网路验证使用者的身份困难度较高,例如骇客可以透过暴力破解、撞库攻击或鱼叉式网路钓鱼等手段窃取登入帐号密码,冒充拥有合法权限的使用者。
- 合规问题:为了加强资讯安全,有些产业的企业或机构需要遵循政府或内部资安规定,比方说限制只能使用资料中心位于特定地区的云端服务,甚至禁止使用公有云等等。
云端资安谁负责?
虽然使用云端运算解决方案,企业对 IT 资源的掌握性降低,但第三方服务提供商同时也会负责资安措施,和企业共同为云端安全性把关。多数企业使用的云端运算服务可以分为:IaaS 基础设施即服务、PaaS 平台即服务和 SaaS 软体及服务三种,简单来说三种类型以云端服务供应商负责的内容作为分野。
-
IaaS:提供企业进行运算所需的基础资源,包含硬体资源、网路、伺服器和虚拟化等。
-
PaaS:以 IaaS 內容为基础,另外提供企业开发应用程式的执行环境、中介程式和作业系统。
-
SaaS:提供完整的应用程式,让企业可以直接透过网路使用。
云端平台和服务供应商也会针对自己的服务和产品加强资讯安全措施,而企业则需负责剩下的部分,以及使用者管理。明确的工作分配也有助于云端平台与企业分别专注不同的领域,提升资安维护效能。
|
基础设施即服务 IaaS |
平台即服务 PaaS |
软体及服务 SaaS |
|
使用者管理(Users) |
使用者管理(Users) |
使用者管理(Users) |
|
应用程式(Application) |
应用程式(Application) |
应用程式(Application) |
|
资料(Data) |
资料(Data) |
资料(Data) |
|
执行环境(Runtime) |
执行环境(Runtime) |
执行环境(Runtime) |
|
中介程式(Middleware) |
中介程式(Middleware) |
中介程式(Middleware) |
|
作业系统(Operating System) |
作业系统(Operating System) |
作业系统(Operating System) |
|
虚拟化(Virtualization) |
虚拟化(Virtualization) |
虚拟化(Virtualization) |
|
伺服器(Server) |
伺服器(Server) |
伺服器(Server) |
|
储存硬体(Storage) |
储存硬体(Storage) |
储存硬体(Storage) |
|
网路(Networking) |
网路(Networking) |
网路(Networking) |
*黑字为使用者负责;蓝字为服务供应商负责
云端资安机制有哪些?
提供公有云服务的云端平台 AWS、Azure 和 Google Cloud 为提升其服务品质和取得客户信任,致力于保护其资料中心安全性,并投入大量资源和成本在维持云端安全上。全球三大云端平台采用的安全措施包括:
- 资料中心硬体安全维护:除了人为的网路攻击以外,云端资料中心也可能因为自然或其他灾害而出现停机问题,例如火灾、水灾、风灾、地震等等。因此云端平台特别慎选资料中心的地理位置,降低受到灾害影响的机率,并设置火灾侦测和灭火设备,安排储备能源供应、冷却系统和网路连线等解决方案。
- 备援系统:云端平台设计考量到主机因为任何问题停摆的情况,有规划应急部署,负责处理受影响机器的工作量。
- 实体机器存取限制:资料中心出入管制严格,仅开放有作业需求的内部员工或第三方人员申请,采最小信任原则,将授权内容最小化,并有存取时间限制。配置保全人员、使用生物识别、设定伺服器锁定、安装整合式警报系统等。
- 全年无休监控:为了确保云端安全,平台也会以高画质的 CCTV 24 小时持续监控实体资料中心,注意有无未授权的人员出入。同时纪录机台上的任何存取活动,以监测是否有可疑活动,并作为日后加强资安措施的参考资料。
- 设备维护:定期预防性维护和更新设备,检查是否有漏洞和承受攻击的风险,且评估和规划资安问题缓解方式。
- 资安研究:网路恶意攻击变化快速,了解最新的资安研究,也可以协助云端平台强化资安措施。因此也有云端平台和资安研究组织合作,深入研究不同网路攻击的最新趋势。
- 加密措施:保护存放于云端资料中心与传输中的资料安全,云端平台会将资料加密。即使资料外泄或脏窃取,也未必能被解读和利用。
- 合规要求:遵照国家、地区或产业特殊的资讯安全规则和标准,并定期接受第三方机构认证,让企业在利用云端运算提升效率时,符合法规要求。
云端资安解决方案
除了云端平台所用的安全机制以外,使用云端运算服务的企业也有许多可以加强资安的作法:
-
文件加密:自行将企业资料加密,减少资料意外泄漏后被利用的机会。
-
零信任架构:对于来自企业外部和内部的存取请求都一视同仁,要求进行身份认证,不因请求来自企业内部,而无条件排除威胁的可能性。
-
多因子认证 MFA:管制企业存放于云端的运算资源之权限,透过多种方式认证身份,确认使用者有合法权限。
-
MDR 威胁侦测应变服务:监控云端环境和资安事件,侦测到异常活动时,第一时间发出警告,协助企业即时处理,将受影响范围缩至最小。
-
安全资讯与事件管理SIEM:全方位整合、管理安全资讯事件,并自动监控与侦测云端环境中的威胁,或导入AI 技术分析应用程式和网路设备的活动纪录资料,面对资安威胁即时应变。
晟崴科技提供多种资安解决方案,协助企业安全利用云端技术,实现不同业务需求,提升营运效率。但同时又做好万全云端安全防护,定期扫描与修补漏洞、加强监控和反应速度,将受到网路攻击的可能性降至最低。
立即联络晟崴科技协助您做好云端安全
