約會應用程式 Jack’d 因隱私問題遭罰 24 萬;《財星 100 大》企業資料外洩,皆因安全措施不當的 AWS S3 伺服器導致

便利性固然是雲端服務的一項主要優勢,但將工作負載移到雲端,絕非如「隨插即用」這般容易。 企業經常犯的一項錯誤就是以為雲端一旦設好之後,就能一勞永逸 …

Jack’d 外洩用戶私人照片長達一年

以「同性戀、雙性戀及好奇男士」為訴求對象的聊天約會應用程式 Jack’d 最近被迫必須支付 24 萬美元的罰金並改善公司資安措施,因為該公司的某台 Amazon Web Services (AWS) S3 伺服器因安全措施不當而持續外洩用戶私人照片長達一年的時間。紐約檢察長 (New York Attorney General) Leticia James 對外宣布這項和解時指出,Jack’d 所屬的 Online Buddies, Inc. 公司未能妥善保護該應用程式 1,900 名同性戀、雙性戀及跨性別用戶的敏感照片。

今年 2 月,Online Buddies 即因有報導指出該應用程式洩漏了敏感影像而遭到調查。一位名叫 Oliver Hough 的資安研究人員在循線追查一些裸露照片時發現來源竟然是 Jack’d 應用程式。他在 2018 年 2 月時便通知該公司,指出其 AWS S3 伺服器含有組態設定上的錯誤,但該公司卻未針對這項訊息採取行動。

繼續閱讀

了解你在Azure上的共享安全責任

你是否會遷移到雲端運算已經不再是個問題,問題只是何時會發生。而是否知道自己該肩負哪些安全責任,會決定這趟雲端之旅會是平安順利還是充滿顛簸。

雖然有許多事情需要加以考慮,但其中特別重要的是了解在涉及雲端內應用程式和資料的安全性時,你該負什麼責任。這些年來,趨勢科技一直致力於協助客戶了解他們在雲端的共享安全責任,最終能夠在混合式雲端環境保護敏感的企業資源。

在此基礎上,我很高興能夠分享這篇微軟關於雲端運算共享責任的最新報告,這對於正在考慮或已經開始轉移到雲端環境的客戶來說是絕佳的資源。微軟清楚地概述客戶和雲端服務供應商的責任,無論是在On-Prem(企業內部部署),IaaS(基礎設施即服務)、PaaS(平台即服務)或SaaS(軟體即服務)環境的各種不同情境:

 

資料來源:雲端客戶的共同責任,微軟,2016年3 繼續閱讀

未來學(FuTuRology):穿戴式裝置和智慧型醫療設備,資料驅動醫療未來的零件

這是「未來學(FuTuRology)」專題的第二篇文章,來自趨勢科技前瞻性威脅研究(FTR)團隊對熱門技術未來進行預測的部落格文章系列。請務必看看本系列第一篇文章對此專題所作的簡單介紹。

今天的話題很令人興奮:醫療技術。

讓我們先從現有的技術開始:健身穿戴式裝置。這些小設備已經被大量的生產和銷售,看看Fitbit或Jawbone這些廠商。在二月巴塞隆納的世界行動通訊大會裡,我們嘗試了各式各樣的設備。有些廠商開始瞄準利基市場,像是寵物和兒童,不過先不要離題了。當我們將這些穿戴式技術放在身上,可以用來計算所走的步數和每分鐘的心跳,然後估算我們所燃燒的卡路里。所搭配的行動應用程式可以讓我們記錄體重變化和食物攝取量,以更精確地估算熱量和衡量我們的飲食是否過量或不足。這些資料都會上傳到廠商的雲端服務,讓他們可以秀出漂亮的彩色圖表。到目前為止,一切都很好。

讓我們看看不久的將來。從群眾集資專案和大眾增加的興趣來判斷,將會有些大事出現。我所說的是能夠按照個人意思來評測健康參數的設備,並且上傳資料到廠商的雲端服務。什麼樣的資料?有體溫、血壓、血氧水平、心跳、呼吸率、心電圖(EKG或ECG)及其他類似資訊。一旦資料上傳,伺服器會根據你的個人歷史數據來運用演算分析這些數值是否正常或異常。這項技術有望讓你在真正發病前就先知道,或通知你可能要生病了。科技真棒!

健身穿戴式裝置和智慧型醫療設備之間的相似性很明顯。我們是否可以在未來某個時候看到兩者融合在同一台設備上?很難說,但的確有可能。我敢說更可能的是將會看到健康數據以前所未有的規模進行關聯分析。從醫學角度看,能夠對這兩個資料集進行資料採礦的確是件大事。健身數據提估我們活動資料,而醫療數據提供影響資料。是否攝入較多的香蕉開始代謝作用讓我們在兩個月後生病?這是否只發生在特定區域?或也許只出現在某年齡層?甚至比較簡單的,什麼時候開始出現流感疫情和會如何因應你的活動水平而讓其影響產生變化?這些是不是很酷呢?

IOE 運動裝置

繼續閱讀

當你的雲端服務停擺,你要如何知道?

現在其實很難確認一個雲端服務是否停擺。它可能只是短暫中斷,但快取和其他系統會接手,這通常是看不見的。如果你的雲端應用程式可以使用,並提供服務給你90%的使用者,但其他10%沒有,這服務是活著還是掛點了?有介於兩者之間的嗎?

Cloud4

有時,它是行銷或服務水平協議方面技術性的問題。而其他時候,它是媒體的問題。拿微軟Azure停擺為例子。微軟公共雲內運算部分的管理功能有問題。大概有24小時的時間是一團混亂,IT部門受到了影響,而且之後仍然餘波震盪一段時間。

對於我這樣大半職業生涯都在雲端上的人來說,當我看到新聞時所想到的第一件事就是,「我很高興那不是我。」然後我問自己,「客戶可以做些什麼,好在這樣的故障下保護自己?」

架構上,我知道要建議完全備援系統,最好來自不同的硬體或雲端服務供應商。但作為實用主義者,卻也很痛苦的知道只有少數客戶有這樣的預算或耐心來實現這樣的系統,世界正在將他們拉到單一雲端服務供應商,而且它本身可能依賴於特定硬體供應商。

因為當IT部門要向財務長報告時,總是會有在經濟跟風險之間抉擇的問題。今天,完全可以備份到不同的公共雲供應商,甚至有待命的虛擬機器。你甚至可以讓你的資料或應用程式的備援放在不同的基礎架構即服務(IaaS)供應商,或是從一個平台即服務(PaaS)供應商故障轉移到另一個。

這裡只有一個小問題,就是這樣做很花錢。 繼續閱讀

大型企業開始使用 Amazon 網路服務該知道的三件事

作者:Dave Asprey(趨勢科技雲端安全副總)

在過去的15年裡,我替發明資料中心代管模式的公司撰寫了第一份的服務層級協議(SLA),而且我帶領兩家使用傳統企業許可條款的公開上市IT軟體和硬體公司遷移到基於用量的定價模式。過去的經驗讓我非常瞭解大型企業如何看待IT採購,以及雲端服務供應商如何看待服務提供。

Cloud5

很遺憾,這是一個沒有太多重疊部位的范氏圖。當大型企業考慮遷移到Amazon網路服務(Amazon Web Services~AWS),這裡有三件你需要記住的事情。

1.    你的法務部門不會得到所想要的東西。

在雲端運算初期,服務層級協議曾經是可以討價還價的東西。雲端服務供應商重複提供完全相同的服務才能夠獲利,提供每個客戶不同的服務層級是無法重複或擴展的模式。

因為服務層級協議在大型IT的外包合約裡一直是可以商量,大多數大型企業的法務部門認為有空間來和AWS制訂和協商SLA。但其實並不行,這種要求只會減緩你的AWS部署,除了挫折感外並無法得到任何結果。

與其只是碰釘子,不如去研究AWS所提供的額外支援服務。這些可以解決許多相同的問題,不過在標準套件中可能只需要一個點擊。

2.    你的採購部門不會幫上忙。

在大型企業中,採購部門通常會加入探判。這在大型企業裡運作得很好,因為探判專家往往比IT主管來得專業。除非是跟牆壁對談,在這種情況下,採購部門的談判專家只會拖慢專案的進行。

AWS的價格透明公開且標準化。有傳聞堅持某些非常大的公司成功地協商出好價格,但我相信這些都只出現在AWS的最早期階段,在今日並沒有出現在很多公司…如果真的有的話。即使你喜歡AWS產品,你的採購部門可能會拉住你,要你考慮別的產品,這樣談判專家才有事情可做。

只是要記住,AWS有定期更新定價的習慣,而且當它更新時,通常會朝向一個方向…往下!事實上,自2006年以來,AWS已經出現過38次的降價…當你考慮其他產品時,要記得這一點。

3.    你的財務長會窒息。

大型企業的ERP和財務系統通常假設你會購買伺服器並在資料中心的某處租用空間。這些要不是資本支出就是每月固定的長期運作成本。可預測的數字對財務主管來說比較令人放鬆。

不可預知且基於用量的定價模式往往打破了靜態的業務流程,讓財務主管緊張的咬指甲。不幸的是,雲端服務供應商在這裡幫不上忙。企業會越來越習慣不可預期且基於用量的定價會佔IT預算裡越來越高的比例。

記得要有耐心的與你的財務團隊合作。遷移到雲端環境是種對IT的調整,它會讓財務方式完全改變。同心協力最終可以提供給大家一個更好的工作環境…並且讓挫折感降到最低。

 

@原文出處:Three things large enterprises should know about getting started with Amazon Web Services