有鑑於公有雲的簡單性和成本效益卓著,越來越多組織改用Amazon Web Services(AWS)、Microsoft Azure和Google Cloud Platform(GCP),這樣的發展實屬意料之中。
雖然公有雲解決了許多傳統IT資源挑戰,但也的確帶來新的難題。雲端應用的快速成長導致資料無法集中,工作負載也分散在不同的執行個體上(某些組織的工作負載甚至還分散在不同平台上)。因此,在這些環境中持續追蹤資料、工作負載和架構變更,成了一項極具挑戰性的任務。
公有雲供應商必須負責雲的安全性,包括實體的資料中心以及分隔客戶環境和資料。但是當企業將資料和工作負載放在公有雲時,保護這些資料就會是企業的責任。不少企業對這一點(擁有權分散)有所誤解,因此造成安全漏洞叢生,也讓雲端工作負載成了現今精明駭客的首要目標。
公有雲安全性有很多要素,很難知道從哪裡開始,如果企業正在使用公有雲(或考慮移轉過來),建議使用以下七個步驟來大幅提高安全性:
這聽起來像是老生常談,但雲端的安全性處理略有不同。AWS、Azure和GCP等公有雲供應商採用的是共同責任模型,這表示他們會負責確保雲端安全性,而企業則須負責放在雲中的任何內容。
多雲不再是個可有可無的策略,而是必要的戰略。使用多雲端的原因有很多,例如可用性、靈活性提升,或是喜歡它帶來的功能性。在規劃安全策略時,建議一開始先假設會執行多雲環境;即使不是現在,未來也會是如此。藉此,才能確保採取的方法能夠因應未來需求。
取得正確安全防護的最大要求,就是獲得所有雲端基礎架構、組態設定、API呼叫和使用者使用狀況的準確可見度。
公有雲的特性就是動態,唯有持續監控才能確保它遵循許多法規。實現此一目標的最佳方法,是將合規性工作整合到日常作業中,包括使用網路拓撲的即時快照,以及對任何變更發出即時警示。
網路犯罪分子越來越喜歡使用自動化攻擊。請利用自動化防禦來領先駭客一步,包括修補漏洞和回報異常行為。
企業需要一種能夠主動反應以保護所有環境(生產、開發和 QA)的解決方案。
本地(On-Premises )的安全性是數十年經驗與研究成果。請使用防火牆和伺服器保護來保護雲端資產免受感染和資料外洩,並讓裝置上的端點和電子郵件安全保持最新狀態,以防範未經授權使用雲端帳戶的行為。
從傳統工作負載移至雲端工作負載,可為各種規模的組織提供龐大商機。然而,如果想妥善保護基礎架構和組織,以及防禦網路攻擊,保護公有雲極其重要。
<本文作者:張光宏現為Sophos台灣區總經理>