雲端運算發展與雲端安全面臨的挑戰，雲端資安課程推薦

 

雲端建設普及，企業上雲比例大增

根據國際資訊科技研究及顧問機構 Gartner 報告 (2021.08) 指出至 2026 年，公有雲花費將占全球企業 IT 支出逾 45% ，預期明年的成長幅度將達 21.7%。其中混合雲、多雲服務、邊緣運算成長，加上未來 5G 服務的推動趨勢下，企業利用雲端服務完成辦公協作，將成為企業轉型的應用情境。

近來應用服務逐漸轉向容器化設計發展，更有許多企業、開發者開始擁抱開源架構設計的 Kubernetes（K8s）容器技術，更快部署雲端服務，將服務搬上雲端難度門檻變得更低，因此也吸引更多企業願意讓服務上雲。

根據 IDC 的市場調查 (2021.08) 資料顯示，因疫情影響，加速企業數位轉型，2025 年臺灣公有雲服務市場規模將破 20 億美元。國際主流的企業協作溝通服務包含 Google Workplace、Microsoft365、Amazon 也配合這一波市場趨勢，大幅提高雲端服務的導入率與市場規模。

延伸課程推薦

RHCA認證-Red Hat OpenShift I：Containers和Kubernetes

Google Cloud基礎知識之核心基礎架構

Microsoft Azure管理員認證班

攻擊模式的轉變，企業往往忽略資安防護升級

由於將服務部署在雲端的企業比例越來越高，傳統針對地端伺服器的攻擊模式逐漸地在改變，目前駭客攻擊模式也逐漸鎖定上雲服務，其中包含攔截網路封包，或是直接鎖定容器化的雲端服務。同時，越來越多網路攻擊型態持續在改變，企業在上雲之際，往往忽略資安防護也必須跟著升級。

由於疫情改變了企業的溝通模式，很多企業實施居家或遠距辦公，將許多溝通協作事務上雲端處理，更多員工散落在公司安全保護的邊緣，因此駭客的攻擊與資安威也脅愈來愈大。

雲端運算常見風險

依據雲端安全防護聯盟CSA（Cloud Security Alliance）對雲端運算可能遭遇的七大安全威脅分述如下：

1.濫用或利用雲端運算進行非法的行為(Abuse and Nefarious Use of Cloud Computing)：

此威脅主要是針對雲端運算服務的供應者。供應商(尤其是IaaS 與PaaS 供應商) 為了降低使用的門檻，通常不會要求使用者必須經過嚴格的資料審查過程就可以直接使用其所提供的資源，這些做法雖然可以有效推廣雲端運算的業務，卻也容易成為有心分子利用的管道。 

2.不安全的使用者介面與APIs (Insecure Interface and APIs)：

使用者透過使用者介面或是APIs與雲端運算服務進行互動，這些介面與APIs是否安全直接影響到雲端運算服務本身的安全性。如果雲端平台提供第3方供應商的加值服務，則這些服務的使用介面，也可能會增加原本應用程式介面的複雜性及風險，企業必須一併加以考量。 

3.惡意的內部人員(Malicious Insiders)：

使用者無法得知雲端運算服務供應商如何規範與管理內部員工，企業擁抱雲端的第一步，就是瞭解雲端服務供應商對其內部員工的管控規範原則，以降低潛在未知的安全風險。 

4.共享環境所造成的議題(Shared Technology Issues)：

雖然使用雲端運算服務(尤其是IaaS)時使用者好像擁有獨立的環境，但是這些環境其實都是透過虛擬化的技術所產生的。虛擬化平台能否將不同的使用者進行有效地隔離，以避免彼此之間相互干擾其服務的正常運算，甚至是避免可以存取對方的資源，對雲端安全來說是嚴格的挑戰。 

5.資料遺失或外洩(Data Loss or Leakage)：

包含是否擁有足夠的AAA (驗證、授權、稽核)、是否採用適當且足夠的加密技術、資料持續性的需求、如何安全地刪除資料、災難復原、甚至是司法管轄的問題，都是必須認真考量的問題。 

6.帳號或服務被竊取(Account or Service Hijacking)：

儘管帳號或服務被竊取的問題由來已久，但是對於雲端來說更具威脅性。在傳統IT環境中，使用者至少還擁有硬體的控制權，即使發生帳號或服務的竊取行為，還可以進行一些事後的補救措施，但是這些補救措施在雲端運算的架構下可能無法執行。 

7.未知的風險模型(Unknown Risk Profile)：

不管是IaaS、PaaS、SaaS都是將服務包裝成一個使用者不需了解也無法了解的系統，讓使用者專注於如何”使用”該系統。但是這樣的方便性，也讓使用者無法了解這些服務所使用的網路架構、安全架構、軟體版本等等各式各樣的重要資訊。雲端供應商內部安全流程、平台架構、修補程式、稽核制度、Log紀錄、如何儲存客戶資料、誰有存取權利等，諸如此類的問題其實都沒有清楚的答案，也沒有公開的監督機制，偏偏這些資訊是用以評估雲端平台安全程度的要素，倘若沒有這些資訊，企業也無法有效評估雲端安全風險。

恆逸 雲端資訊安全 課程推薦

☁ AWS  Security Engineering on AWS

☁ AZURE  微軟雲端服務相關安全、合規和標識認證學習指南

☁ 雲端安全管理：

● 雲服務資訊安全管理 (ISO/IEC 27017)與雲服務個人資料保護管理 (ISO/IEC 27018) 主導稽核員訓練課程

● CCSP雲端資安專家認證課程

● CompTIA Cloud＋雲端工程師國際認證班

 

參考資料

https://www.inside.com.tw/article/25291-trend-micro-cloud-one

https://www.openfind.com.tw/taiwan/markettrend_detail.php?news_id=24722

https://money.udn.com/money/story/5612/5189150

https://www.leosys.com/index.php/aboutleo/newsletter/itdevelopment/78-2015-03-12-02-12-51