什麼是雲端安全機制?
雲端安全機制是指用於在雲端環境中保護應用程式、資料和基礎架構的網路安全政策、最佳做法、控管措施及技術。具體而言,在有效運轉之下,雲端安全機制可提供儲存空間和網路防護 (防範內外部威脅防護)、存取管理、資料管理、法規遵循,以及災難復原等功能。
企業如果想要掌握必要的靈活性與彈性來加快創新腳步,同時滿足今日現代客戶的期望,就會選用雲端運算技術。然而,如遷移至變動性較高的雲端環境,就必須採取新的安全性做法,確保線上基礎架構、應用程式和平台中的資料還是都能維持在安全無虞的狀態。
歡迎深入瞭解 Google Cloud 的安全性模式,以及我們如何透過進階安全性產品和解決方案,協助客戶解決最棘手的安全性難題。
雲端安全機制的運作方式
雲端安全機制主要著重於如何同時實施政策和程序,以及導入技術,讓這些措施在相互配合之下,能夠確保資料得到完善的保護、協助客戶遵循相關法規,以及針對使用者與裝置提供隱私權、存取權和驗證等方面的控管機制。
雲端服務供應商 (簡稱「CSP」) 通常會採用共同責任模式,也就是說,實行雲端運算安全防護機制是雲端服務供應商和客戶共同的責任。您可以將它視為一個責任架構,這個架構會界定哪些安全防護工作應由雲端服務供應商負責,哪些則屬於客戶的責任。如要打造有彈性的雲端安全性策略,就必須瞭解供應商和您之間在安全防護工作上的責任劃分。
一般而言,CSP 一律須負責雲端及其核心基礎架構的安全防護,而客戶則應保護「在雲端中」運作的所有項目,如網路控管措施、身分與存取權管理、資料和應用程式。
共同責任模式會因服務供應商和您選用的雲端運算服務模式而異,供應商管理的項目越多,他們能夠提供的防護範圍就越廣。
以下說明這個模式通常會以何種方式運作:
| 雲端運算服務模式 | 您的責任 | CSP 的責任 |
| 基礎架構式服務 (IaaS) | 您保護自己的資料、應用程式、虛擬網路控管措施、作業系統和使用者存取權。 | 雲端服務供應商保護運算資源、儲存空間和實體網路,包括所有修補作業和設定。 |
| 平台即服務 (PaaS) | 您保護自己的資料、使用者存取權和應用程式。 | 雲端服務供應商保護運算資源、儲存空間、實體網路、虛擬網路控管措施和作業系統。 |
| 軟體式服務 (SaaS) | 您應負責保護自己的資料和使用者存取權。 | 雲端服務供應商保護運算資源、儲存空間、實體網路、虛擬網路控管措施、作業系統、應用程式和中介軟體。 |
為什麼雲端安全機制如此重要?
隨著越來越多企業從地端部署環境遷移至雲端,重新構思安全性做法是一件勢在必行的事,尤其在監管機構放大檢視資料管理與法規遵循等層面的情況下,更是需要這麼做。
混合雲和多雲端架構日漸普及,您也因而享有更甚以往的彈性,能夠自由地根據需求隨時在所需的位置建構內容。但這也意味著,安全防護工作變得複雜許多,不是只有防止他人存取您的網路這麼單純。可惜的是,許多機構往往會將安全措施視為事後因應之道,而且還可能為了追求以更快的速度完成數位轉型,而放棄採行最佳做法。因此,攻擊者會將雲端目標視為潛在的破口 (也許能讓他們輕鬆攻破,進而大有斬獲),據以調整策略來利用安全漏洞。
雖然實施雲端安全機制無法保證一定能完全防範攻擊和安全漏洞,但設計完善的雲端安全性策略有助於防止侵害事件的發生或減輕損害、強化法規遵循,以及加深客戶的信任。
雲端安全性風險和難題
雲端環境承受的安全性風險和傳統環境可能會發生的問題類似,例如內部威脅、資料侵害、資料遺失、網路釣魚、惡意軟體、分散式阻斷服務攻擊和 API 有安全漏洞的情況。
不過,大多數機構都有可能會遭遇特定的雲端安全性難題,包括:
無法掌握情況
雲端資源是在公司網路之外且為第三方擁有的基礎架構上運行,因此以往能讓您掌握網路狀況的傳統工具並不適用於雲端環境,在這種情況下,如果想要監控所有雲端資產、這些資產的存取方式,以及哪些人員有存取權,就會變得相當困難。
設定錯誤
雲端安全性設定錯誤是導致雲端環境發生資料侵害事件的主因之一。 雲端式服務的設計目的在於讓使用者能夠輕鬆存取內容及共用資料,但對於如何保護雲端基礎架構,許多機構可能都沒有充分的瞭解。這樣可能會導致設定錯誤的情況發生,例如直接沿用預設密碼、未啟用資料加密功能,或是不當管理權限控管措施。
存取權管理
雲端部署項目可直接透過公開網際網路存取,使用者無論在任何位置或裝置都能存取這些內容,相當方便。但這同時也意味著,如果憑證外洩或存取權控管不當,攻擊者就能以更輕鬆的方式取得經過授權的資源。
變動不定的工作負載
雲端資源可根據工作負載需求進行佈建,並以動態方式向上擴充或縮減。然而,在這樣的彈性環境中,充滿著不斷變動、在短短幾秒內就可以新增或移除的臨時性工作負載,因此許多傳統的安全性工具都無法在這類環境執行政策。
法規遵循
採用雲端必須多面對一道關卡,就是遵循法規與內部規範,這些是即使沒有安全性漏洞也可能會違反的規定。在雲端環境中進行控管以達到遵循法規的目的,是一個持續不間斷且相當耗費心力的過程。在地端部署資料中心,您可以完全掌控資料及其存取方式,但在雲端環境中則非如此,企業要以一致的方式識別所有雲端資產和控管措施、將這些項目對應至相關的規定與要求,以及妥善記錄各項細節,這一切都困難許多。
實施雲端安全機制的好處
雖然雲端安全機制常被塑造成雲端採用之路上的一大障礙,但雲端的安全性其實和地端部署環境不相上下。事實上,雲端運算安全機制能為企業帶來許多優勢,有助於提升整體的安全狀態。
頂尖雲端服務供應商的基礎架構採用融入安全考量的設計,而且直接將多層式安全防護機制內建至平台及其服務,將所有元素都融入其中,包括零信任網路架構、身分與存取權管理、多重驗證、加密,以及持續記錄與監控功能。此外,雲端也能協助您大規模將安全防護作業自動化及管理這些作業。
雲端安全機制還有其他常見的優點,其中包括:
提高資訊掌握度
只有經過整合的雲端安全性堆疊能夠讓您集中查看雲端資源和資料,這項功能相當重要,有助於防範侵害事件及其他潛在威脅。雲端安全機制可提供工具、技術和處理程序,讓您記錄、監控及分析事件,以便確切掌握雲端環境中的各種動態。
集中式安全防護
雲端安全機制可讓您整合雲端網路的防護服務,以便持續監控及分析大量的裝置、端點和系統,並且簡化這些監控及分析作業。不僅如此,您還能在同一個地方集中管理軟體更新和政策,甚至是實施及執行災難復原計畫。
降低成本
有了雲端安全機制,您不必付費購買專用硬體就能提升安全性,或是耗用寶貴的資源來處理安全性更新和設定。CSP 提供進階的安全性工具,可提供自動化的防護功能,幾乎不需要人工介入。
資料保護
頂尖的雲端運算供應商在設計自家服務時,會以資料安全為首要考量,提供嚴格的存取權控管措施、對靜態和傳輸中的資料進行加密,以及資料遺失防護等功能,以便保護您的雲端資料,無論這些資料的所在位置或代管位置為何,都能得到完善的防護。
Cloud 法規遵循
雲端服務供應商會竭盡所能,全力遵循國際及產業規範標準,他們的安全性、隱私權與法規遵循控管措施通常都有經過嚴格的獨立驗證。
進階威脅偵測功能
卓越的 CSP 還會投資在尖端技術和技能良好的專家上,以便提供即時的全球威脅情報,這些資源可偵測出機構網路內外的已知和未知威脅,讓您能夠以更快的速度採取補救措施。
雲端安全性解決方案的類型
隨著新的安全性威脅出現,雲端安全機制會不斷進化與有所調整,因此現在市面上有許多不同類型的雲端安全性解決方案。以下清單僅列出部分類型供您參考。
- 身分與存取權管理 (簡稱「IAM」):IAM 服務和工具可讓管理員集中管理及控管哪些人員可存取特定雲端和地端部署資源。IAM 能讓您主動監控及限制使用者與服務互動的方式,然後進一步在整個機構中強制執行政策。
- 資料遺失防護:資料遺失防護功能提供針對受管制的雲端資料,自動進行探索、分類和去識別化的功能,能幫助您清楚掌握自己儲存和處理的資料。
- 安全性資訊和事件管理 (簡稱「SIEM」):SIEM 解決方案結合安全性資訊和安全性事件管理,能自動監控與偵測雲端環境中的威脅,並提供事件回應。 SIEM 工具運用 AI 與機器學習技術,可讓您查看及分析應用程式和網路裝置上所產生的記錄檔資料,並在偵測到潛在威脅時迅速採取行動。
- 公開金鑰基礎架構 (簡稱「PKI」):PKI 這個架構的用途為透過數位憑證管理安全的加密資訊交換作業。PKI 解決方案通常會為應用程式提供驗證服務,並確認資料在傳輸過程中不會遭駭,也沒有外洩的風險。雲端式 PKI 服務可讓機構管理及部署數位憑證 (用於驗證使用者、裝置和服務)。