什麼是雲端安全(Cloud Security)？

雲端運算是透過網際網路提供運算資源的一種技術。任何種類的 IT 工具和應用程式都可以被提供；使用者可存取伺服器、儲存空間、資料庫、網路及應用程式。

雲端運算資源可能是由組織(企業)擁有和維護，但大多會以服務型態提供。使用雲端運算服務可降低成本支出，同時按照需求提供 IT 基礎架構、應用程式和服務的方式提高資源使用的彈性。

雲端安全是雲端運算的基石，它能夠提供必要的技術、服務、原則和管控措施，防止託管基礎架構、應用程式和資料遭受威脅和意外的侵害。不論是私有雲端、公用雲端或混合雲端，都將雲端運算安全整合到其架構和基礎架構中，以確保資料隱私並符合法遵要求。

雲端安全可帶來許多優勢，包括：

• 先進的威脅偵測能力 
  雲端運算安全使用端點掃描、威脅情報及其他工具來主動識別和化解威脅。
• 法遵 
  多數雲端安全都能提供廣泛的涵蓋範圍，確保組織符合法律、標準和內部規範訂定的嚴格法遵要求。
• 持續監控 
  為了確保最佳雲端安全、可用性和效能，服務供應商必須持續監控所有系統。這樣的可視性讓服務供應商能夠在發現問題時主動做出回應，以免問題一發不可收拾。
• 資料安全  
  多數雲端安全解決方案都能提供精心規劃的資料安全，運用強大的存取控制和資料加密來保護資料不受威脅。
• 防範分散式阻斷服務 (DDoS) 攻擊 
  雲端安全解決方案可提供最有效的 DDoS 攻擊防禦，因為服務中內建了持續監控、分析和冗餘系統。

雲端安全與共同責任模型

不論部署何種雲端模型，雲端運算安全的責任都是共同的。雲端安全責任共分為三大類。

1. 供應商始終必須承擔的雲端安全責任在於，透過存取、修補和設定運算執行個體運行及儲存和其他資源所在的實體主機和網路，來保護基礎架構的安全。
2. 客戶始終必須承擔的雲端安全責任在於，管理使用者及其存取特權、防範雲端帳戶和雲端資料遭到未經授權存取，以及管理安全態勢，確保遵守法遵要求。
3. 取決於服務模型的雲端運算安全責任包括：
   • 基礎架構即服務 (Infrastructure as a Service , IaaS)—在基礎架構交付模型中，供應商透過網際網路提供運算資源（例如虛擬伺服器、儲存、網路設備）。在 IaaS 模型中，安全責任由客戶負擔。這表示客戶必須負責維護雲端基礎架構上所有內容的安全，包括作業系統、應用程式、韌體、容器、工作負載、資料和程式碼。客戶需負責保護端點、使用者、網路、組態、設定、存取權、工作負載和資料的安全。
   • 平台即服務 (Platform as a Service , PaaS)—在此模型中，供應商提供平台的硬體和軟體。服務供應商還需負責保護客戶開發、運行及管理其應用程式所在平台和基礎架構的安全。客戶則是負責保護在平台上開發的應用程式，以及端點、使用者、網路、存取權、資料和工作負載的安全。
   • 軟體即服務 (Software as a Service , SaaS)—供應商在雲端中集中托管某應用程式（如電子郵件），並以訂閱形式提供該應用程式。在此模型中，供應商不只要維護及管理解決方案，還必須負責保護應用程式的安全。客戶則是負責維護端點、使用者、網路、組態、設定、存取權、工作負載和資料的安全。

雲端安全的挑戰

• 應用程式介面 (API) 的弱點  
  網路罪犯通常會利用 API 缺陷，透過阻斷服務 (DoS) 和程式碼注入(Code Injection)之類的攻擊，未經授權存取資源和資料。
• 法遵和治理 
  儘管主要雲端供應商都有支援絕大多數規則和法律的安全要求（例如《支付卡產業資料安全標準》(PCI DSS)、《健康保險可攜與責任法》(HIPAA)、《加州隱私權法案》(CPRA)、《一般資料保護規範》(GDPR)），客戶仍需負責確保其工作負載和資料流程符合法遵歸範，但並非所有人都能勝任這項工作。許多組織會認定安全防護是雲端供應商的責任，因此並未實行遵守安全要求所需的流程和管控措施。
• 動態工作負載 
  由於雲端資產的佈建和除役是動態進行的，傳統安全工具提供的安全防護原則類型不足以支援迅速變化的工作負載。
• 攻擊面不斷擴大 
  採用微型服務導致公開可用的工作負載顯著增加，而每多增加一個工作負載，攻擊面也隨之擴大。
• 缺乏可視性和追蹤 
  在由供應商全權掌控基礎架構層的雲端部署中，客戶完全無法觸及雲端的基礎架構，因此缺乏正確識別及量化雲端資產或視覺化雲端環境所需的可視性和主控權。
• 特權設定過於寬鬆  
  在預設情況下，雲端使用者角色通常會設定得很寬鬆，以致授予超過實際需求的特權。
• 雲端服務設定錯誤 
  雲端設定錯誤是因為使用者或管理員未能正確套用安全設定所致。這會造成出站存取不受限制或憑證過弱，進而導致資料外洩。
• 零時差漏洞攻擊  
  即使最頂尖的雲端安全供應商也很容易受到零時差漏洞攻擊，這類攻擊會利用軟體和作業系統中尚未修補的弱點。

雲端安全與零信任架構

雲端運算安全中的零信任架構(Zero Trust)最佳原則與其他任何部署相同，不自動信任網路內部或外部的任何人或事物，一律都要經過驗證。零信任架構的雲端安全應用包括：

• 確保面向網路的應用程式具備妥善的安全防護
• 實行並強制執行最小權限治理策略，限制使用者只能夠存取履行職責所需的必要資源，從而縮小攻擊面
• 運用微分段來實現精細的雲端運算安全控制
• 建立將工作負載區隔開來的分區，確保分區內所有內容的安全性，並套用特定原則保護各分區之間的流量安全

將零信任架構應用在雲端安全的諸多好處包括：

• 一致且全面的安全防護
• 增進資料、資產和風險的可視性
• 降低營運成本和複雜度
• 迅速敏捷地適應使用情況、技術和威脅的變化

實行雲端運算安全零信任架構的重要步驟包括：

1. 識別有哪些類型的應用程式（例如公用、私有和 SaaS 應用程式）和資料（例如機密、敏感資料）需要受到保護、其所在位置，以及有誰會存取和使用它們。
2. 根據資料、應用程式、資產和服務所需的安全等級來定義保護面。
3. 繪製交易流程圖。
4. 建構雲端安全基礎架構，建立使用者與應用程式間的界線。
5. 根據最小權限原則授予存取權。
6. 教育使用者了解安全原則，以及他們在雲端中存取和使用應用程式時應遵守的規範。
7. 監控並維護所有雲端運算安全系統。

雲端安全最佳實務

組織在實行工具和管控措施時，應考量這些雲端安全最佳實務。

• 檢查是否有任何預設服務帳戶。
• 根據資料在網路中的流通方式，以及使用者和應用程式如何存取敏感資訊，進行零信任架構雲端運算安全和微分段設計。
• 停用未使用的連接埠。
• 確保雲端安全符合標準、法律和規章的要求，包括《沙賓法案》(SOX)、《金融服務業現代化法》(GLBA), 《聯邦資訊安全管理法》(FISMA)、國家標準暨技術研究院 (NIST) 標準，以及環球銀行金融電信協會 (SWIFT) 標準。
• 針對所有特權使用者（如系統管理員、管理者）建立持續性活動監控。
• 落實清楚明確的到職和離職流程，包括新增和移除帳戶及其特權。
• 追蹤雲端基礎架構中的特權使用者。
• 瞭解網路內部和外部各方面的雲端安全由誰負責。
• 不論使用者身在何處、想採用何種連線方式或使用哪些應用程式，都能為使用者提供安全、一致且無縫的體驗。
• 移除不必要的流程和執行個體。
• 要求使用高強度密碼和多因子驗證(Multi-Factor Authentication , MFA)。
• 定期評估使用者特權。
• 花時間找出現有關係，與相關人員合作了解正常的應用程式行為模式和系統間通訊。
• 教導使用者辨別網路釣魚和社交工程的跡象，模擬真實的攻擊情況來防範意外揭露敏感資訊。
• 了解雲端架構的運作方式，以避免因設定錯誤而造成安全漏洞。
• 透過監控網路流量進行被動式應用程式探索。

雲端安全解決方案

由於雲端運算的分散和動態特性，應廣泛採用各式安全工具和實務，具體內容說明如下。

• 異動管理和軟體更新 
  在佈建虛擬伺服器、稽核組態偏差及修復問題時，套用治理和法遵規則及範本。
• 雲端 WAF（Web 應用程式防火牆）  
  在傳入的流量和請求尚未到達伺服器及存取資源前進行監控。
• 法遵評估  
  審查並更新法遵規則和要求。
• 採用下列方式管控雲端資料： 
  • 資料分類，依據資料的分類（如敏感、管制或公開資料）來阻止資料出入雲端。
  • 資料外洩防護 (Data Loss Prevention , DLP)，保護資料遭到未經授權存取，並在偵測到可疑活動時自動停止存取和傳輸資料。
  • 協調管控，管理雲端內的管控措施（例如，變更指定使用者的檔案和資料夾權限、移除權限、撤銷共用連結）。

• 資料加密 
  在發生外洩時透過遮蔽來保護機密和敏感資訊。
• 裝置存取控制雲端資料和應用程式  
  根據規則封鎖存取（例如，當有個人、未經授權的裝置試圖雲端資料的時候）。
• 強化資料安全防護 
  在所有傳輸層使用加密來保護檔案共享和通訊的安全，確保持續遵守風險管理相關法遵要求，並支持良好的資料治理（例如偵測設定錯誤的資源、終止孤立資源）。
• 精細的原則型身分與存取管理 (Identity and Access Management , IAM) 及驗證  
  提供資產和 API 的存取特權。
• 身分管理和存取控制  
  定義哪些使用者和使用者群組有權存取什麼資源和資料，並強制執行最小權限原則。
• 微分段 
  使用專用廣域網路 (WAN) 連結來自訂虛擬裝置、虛擬網路及其閘道，以及公用網際網路協定 (IP) 位址的存取，對工作負載進行隔離至個別工作負載層級的微分段，並於子網路閘道實行精細的安全原則。
• 新一代防火牆 
  運用應用程式感知篩選技術，精細的檢查和管控 Web 應用程式的往來流量，並因應流量行為的改變自動更新規則，以阻擋先進威脅。
• 防範惡意軟體  
  阻止惡意軟體透過檔案掃描、應用程式白名單、機器學習惡意軟體偵測及網路流量分析，阻止惡意軟體進入雲端服務。
• 特權存取控制 
  識別特權帳戶對於資料和應用程式的所有存取形式，並實行及管理管控措施以限制暴露。
• 風險管理  
  識別並處理雲端環境和供應商引入的風險因子。
• 威脅情報  
  透過掃描所有流量，而後將彙總的日誌資料與內部資料（例如資產和組態管理系統）、弱點掃描器、外部資料（例如公共威脅情報來源、地理位置資料庫）及採用人工智慧技術的異常偵測演算法進行交叉參照，來即時偵測和補救已知與未知威脅。
• 雲端資料和應用程式的使用者存取控制，例如雲端存取安全性代理程式或雲端存取資安管理 (Cloud Access Security Broker , CASB） 
  確保僅允許授權使用者存取雲端資料和應用程式。
• 使用者行為分析 (User Behavior Analytics , UBA)  
  識別惡意活動，如偵測有安全漏洞的帳戶和內部威脅。
• 提供對雲端資料的可視性  
  透過 API 連接檢視： 
  • 雲端中儲存了哪些資料。
  • 誰正在使用雲端資料。
  • 有權存取雲端資料的使用者角色。
  • 雲端使用者與哪些人分享資料。
  • 雲端資料位於何處。
  • 從什麼地方（包括裝置）存取及下載雲端資料。

要求內部負起雲端安全品質的責任

企業必須以確保雲端運算安全為首要之務。儘管雲端服務供應商擅長保護系統和資料，但確保整體雲端安全仍屬組織內部的責任。無論是採用外包式的監管和稽核解決方案還是從內部管理雲端部署，或兩者混用，企業都必須深入瞭解雲端安全的各個面向。

好好花時間制定完善的雲端安全流程和原則是絕對必要的，其回報在於組織得以放心知道系統受到保護且符合法遵要求。倘若執行得當，雲端安全可提供最有效的網路犯罪防禦，防範未經授權存取、資料外洩及其他層出不窮的威脅。

以下是您可能會感興趣的其他主題：