標籤: Cloud

資安問題經常是因為應用程式未獲得充分的檢查與防護就貿然部署所導致。那麼，應用程式最大的資安風險是什麼？企業又該如何確保 DevOps 流程的安全？

為了因應產業變化的腳步，數位轉型是企業必經的重要過程。隨著全球因冠狀病毒疫情而陷入停滯，這樣的轉型不僅必要，也更加迫切。當企業開始拓展自己的數位足跡、打造現代化流程讓員工從任何地點都能隨時工作，企業也應思考如何在滿足客戶需求的同時，也簡化程式變更的流程。這股數位轉型趨勢在近幾個月來尤其明顯，各領域應用程式的使用率都明顯暴增 。

應用程式現在已扮演一個不可或缺的角色，許多企業和使用者不論在工作、教育、娛樂、零售及其他用途，都得仰賴各式各樣的應用程式。在這樣的情況下，應用程式開發團隊將扮演著關鍵的角色，不僅要確保應用程式能為使用者提供絕佳的便利性和效能，更要防範駭客攻擊。因為駭客隨時都在尋找弱點、漏洞、組態設定錯誤以及其他可利用的資安破口來發動惡意攻擊。假使企業為了保住業績和營收而急於讓應用程式上線，那麼資安的風險將更加令人擔憂。前一陣子推出的接觸者追蹤應用程式所引發的隱私權問題，就是應用程式開發和部署操之過急而帶來危險的最佳範例。今年五月，美國華盛頓郵報 (The Washington Post) 報導，接觸者追蹤應用程式雖然對政府單位與研究機構在控制疫情擴散方面很有幫助，但卻可能不小心讓駭客取得新冠肺炎 (Covid-19) 確診者的敏感資料。

不安全的應用程式所帶來的嚴重風險，突顯出應用程式防護以及在設計、開發、部署等階段發掘、修正及強化應用程式安全的必要性。本文探討應用程式可能面臨的資安風險與威脅，以及企業該如何將網路資安防護融入 DevOps 流程當中。

絕大部分外部攻擊都是瞄準軟體漏洞或網站應用程式

應用程式複雜性日益攀升，再加上第三方程式庫及其他問題，讓應用程式更容易遭遇資安風險和威脅。根據 2020 年一份 Forrester 報告指出，資安專業人員認為絕大部分外部攻擊都是瞄準軟體漏洞或網站應用程式。同一份報告也指出，開放原始碼軟體是應用程式安全的一大隱憂，開放原始碼資安漏洞自去年至今已成長 50%。

隨著雲端服務的普及率不斷成長，企業機構務必了解如何保護自己的雲端環境。這份研究探討了一些雲端經常遭遇的威脅，提供具體的分析建議來讓企業機構更了解該如何因應這些威脅。

 雲端 的普及率正在穩定持續成長，不僅小型企業紛紛尋找更具成本效益的方案來取代實體 IT 基礎架構，就連大型企業也希望能善用雲端的彈性效益。但企業卻因而面臨了一項挑戰 (尤其是剛開始移轉至雲端的企業)，也就是不熟悉雲端的運作方式以及雲端與純企業內環境的差異。企業的雲端通常不只由單一環境所構成，而是結合了各種不同的服務供應商，而且經常還保留了實體資料中心。

類似的挑戰也出現在企業資安方面，有些資安風險來自於雲端部署環境的防護不足，有些則是因為不夠熟悉雲端服務的組態設定細節所引起。雲端工作負載或雲端應用程式可能因為各種原因而暴露於駭客攻擊的風險當中，包括：組態設定錯誤、技術使用不當、缺乏雲端系統相關的操作和防護經驗，有時甚至單純只是因為開發人員或雲端工程師的疏失。雲端系統的各項元件在許多方面都環環相扣，因此不易釐清明確的潛在攻擊途徑。對於才剛開始駕馭雲端平台及服務的 IT 人員來說，資安可說是一項艱難的任務。

在一份名為「解構錯綜複雜的雲端資安威脅」(Untangling the Web of Cloud Security Threats) 的白皮書中，我們列舉了一些企業在移轉至雲端或採用雲端服務之後可能遭遇的威脅和風險。我們發現，不論是哪一種雲端服務或平台，雲端資安最主要的問題之一就是組態設定錯誤，此問題不論是訂閱雲端服務的企業或是使用雲端式軟體的使用者都會受到影響。

可公開寫入的 Amazon S3 儲存貯體 (Bucket)