◾作者:趨勢科技全球資訊服務部資深經理 Soros Liu
當AI與5G成為當前產業新顯學,企業擁抱數位轉型,腳下踩的那朵觔斗雲成為不可或缺的重要工具。根據市調機構Canalys統計,2020年首季全球企業投入雲端服務的金額達310億美元的規模,使整體雲端市場成長34%;對此,趨勢也特別分享了自己移轉上雲以及長期觀察企業客戶上雲的經驗。
首先是如何上雲?主要可以分為三種方法,第一種方法最為單純,就是全部用新的雲端服務去建置一個網路服務設備,與舊有的服務切割開來,以微服務的概念將獨立的功能開發成輕量級的雲端應用,這個適合單一目的且功能獨立的系統。這樣的作法,可以充分運用雲端科技快速延展特性。這種方式是最建議的方法,但企業要採用有幾個前提,第一,原本地端的服務不打算繼續開發新功能;第二,且新的服務與舊有的服務沒有甚麼依存性。在這樣的前提下建議企業可以採用這種方式,也有助於降低未來管理成本。
雲端是一個潛力無窮的環境,它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術,但它也並非如表面上看來的那樣美好,就讓本文為您解說未來一年雲端資安最重要的問題。
雲端是一個潛力無窮的環境,它讓人們輕輕鬆鬆就能獲得十年前所無法享受的技術。
現在,您只需要一道指令,就等於可以啟動一整個資料中心,而且還能自動擴充規模來滿足數百萬客戶的需求。而一些高階的機器學習與分析,也只需一道 API 呼叫即可達成。
這使得開發團隊能夠加速創新,他們幾乎只需專注於創造商業價值。
然而,情況不可能總是那麼美好,在一般人的認知,隨著潛力的提升,資安挑戰也變得更大,開發團隊勢必得面對零時差漏洞、漏洞攻擊、影子 IT 等等問題。
事實並非如此。
至少這些都不是最重要的問題,雲端開發人員的首要資安挑戰其實非常單純。
那就是服務組態設定錯誤的問題。
繼續閱讀企業正以前所未有的速度來投資雲端基礎設施和應用程式,好在疫情爆發期間不僅能夠生存下去,還可以更加發展。但是數位化的擴張也擴大了公司的受攻擊面。那麼雲端安全的秘訣是什麼?我們邀請了眾多趨勢科技專家來幫助你制定致勝的策略。
Mark Nunnikhoven(雲端研究副總)
擁抱變化。
資安團隊一直在救火,尤其是在當下,所以不願照業務需要的速度擁抱新的技術。同時,資安團隊也急需減少工作量,所以重複使用相同作法對他們來說更有效率。然而這種態度最終會阻礙企業發揮雲端技術真正的潛力。最終還會因為舊技術與雲端環境動態需求的脫節而導致更糟糕的安全結果。
Jon Clay(全球資安威脅溝通總監):
教育
我們在技術上所面臨的最大挑戰之一是進步的速度。儘管這能夠推動業務創新並改善我們的日常生活,但也可能需要付出一定的代價,也就是資安團隊需要花費額外時間來理解技術以及它可能會如何被攻擊。今日的雲端運算就是如此。IT團隊通常缺乏如何有效部署和保護雲端環境的培訓和知識。
設定不當是駭客能夠入侵雲端基礎設施的最大原因之一。為了改善這狀況,企業需要在部署任何新環境前,先對員工進行雲端技術的教育訓練。並且隨著技術的不停發展,要確保員工持續地接受訓練。
Bill Malik(基礎設施策略副總):
基於安全的設計。
繼續閱讀後端基礎架構是企業應細心守護的一項企業關鍵資產,因為一旦遭到入侵,很可能將引發供應鏈攻擊。
資安是每家企業在 採用與移轉至雲端技術時都必須考量的重要一環。企業必須優先保護的資源包括:網路、端點及應用程式。此外,還有一項企業應該細心守護的關鍵資產就是後端基礎架構,因為一旦遭到入侵,很可能將引發供應鏈攻擊。
企業通常都會採用端點防護與網路防護產品來保護後端環境的伺服器以及負責儲存與處理大量寶貴資料的內部系統。為了盡可能節省成本,有些企業會將後端基礎架構移轉至雲端,或者採用雲端式解決方案在企業內架設私有雲。
不過這樣的作法要非常小心謹慎,才不會讓企業暴露在駭客攻擊的風險中,例如之前發生的多起導致營運中斷、財務損失及商譽損失的供應鏈攻擊。在「雲端運算時代的供應鏈攻擊:風險、如何防範,以及確保後端基礎架構安全的重要」(Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends) 一文當中,我們列舉了各種我們分析過的資安風險,並提出幾項防範技巧給 DevOps 參考,尤其是關於 Jenkins、Docker、Kubernetes 以及 AWS Cloud9 與 Visual Studio Codespaces 等雲端整合開發環境 (IDE)的問題。
後端系統的預設組態設定,即使是在認證啟用的狀況下,還是會帶來相當大的資安風險。軟體開發團隊經常用到的開放原始碼自動化伺服器 Jenkins 就被發現有這樣的風險。
意見領袖討論今日網路防護的演進、現況及未來。在介紹完過去的歷史及重要觀念之後,順便告訴讀者為何資安團隊需要多層式雲端內防護。
在最近之前,網路防禦不僅似乎繞了一圈又回到了原點,而且還讓我們倒退到過去。在網路層次防範攻擊,一開始只能做到偵測,當偵測到惡意活動時,必須靠人工採取行動來降低損害,而且回應速度得夠快才行。此時防範的重點在於限制哪些流量可以通過閘道與防火牆,然後再交由 IDS (入侵偵測) 來偵測惡意活動。這聽起來似乎沒有很強,確實如此,所以後來才會進步到所謂的 IPS (入侵防護)。既然可以偵測到攻擊流量,那為何不乾脆加以攔截?