什麼是雲端安全性？

什麼是雲端安全性？

雲端安全性並不是單一的實體，它是一個由 IT 管理員、雲端處理和政策，以及保護雲端中資料和應用程式的安全性解決方案組成的完整生態系統。實施這些雲端安全措施不僅可以保護資料，還可以支援法規合規性、確保客戶隱私和設定身分驗證規則等。

透過這種方式，雲端安全性完全可客製化，以滿足企業的獨特需求。更不用說，配置和身分驗證規則可以從一個地方進行更改和管理，因此，如果企業擁有可靠的雲端安全策略，他們就不必花費寶貴的時間來管理雲端環境。

由於敏感的客戶和業務資料都儲存在雲端中，而且越來越多的組織正全面地遷移到雲端，因此，引入雲端安全策略已成為當務之急。這些年來，安全性犯罪分子不斷進化，對組織發起了更多更複雜精巧、更難檢測的攻擊。不論組織選擇哪種雲端，攻擊者都已經變得聰明許多，為的是確保他們甚至能侵入最大型公司的雲端。

為什麼雲端安全性很重要？

資料和應用程式安全性對於任何組織而言都至關重要。當談到雲端環境時，安全性都應該是首要任務。雲端的普及程度只會繼續增加，而對於許多已經擁抱數位轉型的最成功企業來說，採用「雲端優先」已迅速成為一項優先要務。

對於各行各業和分散在不同地理位置的大型和小型企業而言，雲端擁有著巨大的潛力。藉由合適的雲端安全工具和解決方案，你的組織可以充分發揮這些潛力，並變得更敏捷、更靈活，不僅能更快地回應客戶，也更具成本效益。透過以最佳方式來保護你的雲端環境，你可以盡享雲端提供的所有優勢，並能時刻保持安心無憂，因為你的資料和應用程式都能受到良好保護。

除了使你能夠自信地利用雲端的優勢之外，雲端安全性還讓你能夠：

• 降低資料洩露的風險

• 支援員工遠端辦公

• 強化災難復原策略

• 確保遵循產業和政府法規

• 減少漏洞，並為使用者提供適當的存取層級

公司面臨著哪些雲端安全挑戰？

如果沒有適當的雲端安全策略，公司在其雲端運算架構中更有可能面臨嚴重的安全問題。以下項目描述了一些公司可能會遇到的最常見的安全威脅和風險。

1. 敏感資料遺失：大部分儲存於雲端中的資料都是敏感型、私人性質，或是包含了智慧財產。如果公司的雲端服務遭到破壞，網路攻擊者就可以輕鬆存取這些資料。但即使沒有受到攻擊，如果某些服務的合約條款聲稱對上傳給他們的資料擁有所有權，這也會帶來風險。
2. 失去對終端使用者的控管力：如果沒有適當的可視性和控管力，公司的終端使用者可能會在不知不覺中，甚至是故意將組織置於風險之中。一個很好的例子就是：一位即將從其現職企業辭職的銷售人員決定下載其客戶聯絡人的報告，並將該資料上傳到個人雲端儲存服務。一旦他們被競爭對手組織聘用，他們就可以利用這些資料。
   
3. 惡意軟體：雲端服務是資料滲透的主要目標，也就是網路攻擊者從他們的電腦進行未經授權的資料傳送的過程。不幸的是，這些網路犯罪分子已經想出了新的、更難檢測的資料滲透方法，包括公開、隱蔽的方法。
   
4. 違反合約：當企業方簽署合約時，這通常就限制了資料的使用方式以及誰有權存取資料。然而，如果一名員工未經授權就將限制性資料遷移到雲端，則可能會違反合約，從而導致潛在的法律報復。
   
5. 聲譽受損：當你的資料遭到洩露時，不可避免地，你的客戶就可能不信任你的組織。如果沒有足夠的信任，你的組織可能就不得不面對收入上的損失。不幸的是，一件最廣為人知的卡片資料洩露事件發生在 Target 公司。當網路攻擊者竊取了超過 4 千萬張顧客的信用卡和金融簽帳卡時，其中一個後果就是信任的喪失。更不用說，失去客戶信任的常見結果之一是導致一種稱為「顧客流失」的現象，即客戶決定將他們的業務轉移到其他地方去——即便在發生洩露事件之前，他們是該組織快樂、忠實的消費者。
   
6. 收入流失：歸根究底，這是一家公司在資料洩露後可能並且將要面臨的最具破壞性的後果之一。當一家公司的客戶對其保護敏感財務資訊的能力失去信任時，他們的忠誠度就會轉移到其他地方，從而使被入侵的公司損失大量金錢。更不用說，一次資料洩露的平均成本約為 400 萬美元，這是許多組織根本無法負擔的費用。
   

雲端安全性的好處

隨著越來越多的公司轉而採用雲端，要確保雲端安全措施到位，絕無任何商量餘地。由於安全漏洞造成的後果很嚴重，因此可靠的雲端安全計畫具有無比巨大的價值。組織選擇雲端安全性的原因應納入以下考量：

集中式的安全性

就如雲端可以集中所有的應用程式和資料一樣，雲端安全性可以集中所有的保護力量。基於雲端的網路包含了大量的設備和端點，它們增強了流量分析和過濾。企業較少參與監控過程，自動化的雲端安全服務可在無需人工干預的情況下監測可能的威脅。此外，由於所有的保護策略都在一個地方進行管理，因此也可以輕鬆地實施和執行災難復原計畫。

降低成本

透過使用基於雲端的儲存和安全解決方案，企業可以減少（如果不是完全消除的話）他們使用的專用硬體的數量。這可以減少資本支出，並削減管理費用。雲端安全性讓 IT 團隊能專注於更多的高價值專案，而不是 24 小時全天候進行安全監控。

減少管理作業

雲端安全性的諸多好處之一是它能夠消除手動安全配置和頻繁的安全性更新。在傳統環境中，這些任務不僅非常耗時，且還會耗盡企業資源。藉由遷移到雲端運算，所有的安全管理都在一個地方進行，並且可以在沒有任何監督的情況下受到完全的管理。

可靠性

儘管全人工的雲端監測策略可能會捕捉到出現在你面前的大部分威脅，但雲端安全性消除了任何人為錯誤的可能性。透過提供極致的可靠性，正確的雲端安全措施可確保使用者不論身在何處，也不論使用何種設備，都能安全地從雲端存取資料和應用程式。

為什麼擁有雲端安全性策略很重要？

所有的雲端模型都容易受到威脅的影響，即使是傳統上以高度可控、可管理和安全性而著稱的本地端架構也不例外。不幸的是，隨著網路犯罪分子不斷地精進和強化他們的攻擊，企業必須建立一個強大、絕對可靠的雲端安全策略，以防止資料盜竊、洩漏、毀損和刪除等。

過去，傳統的人工 IT 安全就足以抵禦安全漏洞。但如今，幾乎沒有多少時間或金錢可以花在全天候工作的員工身上，而且這項工作本身單調乏味的特性不可避免地會導致在安全協定中出現一些失誤和漏洞。雲端安全性消除了這些擔憂，它提供了傳統 IT 安全性的功能，並讓企業能利用雲端運算的力量，同時保持安全，並確保能滿足企業的隱私和合規性要求。

5 項必備的雲端安全性功能

1. 高品質的邊界防火牆解決方案：取得一個不僅僅只是查看資料包來源和目的地的邊界防火牆。除此之外，最好的防火牆還提供更高程度的詳細資訊，包括檢查資料包的實際內容，以識別其檔案類型和完整性。
2. 搭載事件日誌的強大入侵偵測功能：對於金融服務和健康照護等法規管制繁多的產業來說，強大的入侵偵測系統應視為必備。它將建立侵入試圖的日誌，並提醒你注意潛在的問題。
3. 可用於保護應用程式和資料庫的額外防火牆：雖然你的邊界防火牆可以防禦外部攻擊者，但內部防火牆可以抵禦內部攻擊——例如，來自被破解的使用者憑證的攻擊，或是來自前員工的攻擊，這些前員工會使用仍舊處於活躍狀態的帳戶詳細資料來登入你的系統。
4. 靜態資料加密功能：別忽視了對儲存在你雲端環境中的資料進行加密。這是防止敏感資訊落入不法分子之手的有力方法。
5. 具有強大安全功能的頂尖資料中心：作為抵禦駭客的最後一道防線，確保你的組織和/或雲端供應商正在利用 Tier IV 資料中心受到高度保護的實體安全功能非常重要。最安全的資料中心會採取極端措施來保護實體基礎架構，包括武裝警衛、永不間斷的攝影機監視和嚴格的存取協定（例如生物特徵識別系統）等等。

強健的雲端安全性的支柱

不論你使用私有雲還是公有雲，或是兩者混合，在尋找安全性解決方案或設計組織專屬的安全功能時，都有一些常見的雲端安全性支柱需要考慮。

存取管理至關重要

確保只有經授權的使用者才能在合適的時間存取你的雲端資料和應用程式，是雲端安全性最重要的準則之一。身分識別存取管理解決方案將大有用處。

採用「零信任」來實現最大限度的控管

策略性地隔離雲端系統的某些部分，可以使不法分子無法存取所有的內容。使用零信任原則，讓你的系統被攻擊者滲透的可能性降低。請務必制定嚴格的安全政策，並將敏感工作負載與更多的公用資料隔離開來。

確保符合變更管理

大多數雲端供應商都提供變更管理協定和工具，你可以用它們來處理變更請求和新伺服器佈建等。這些工具很有用，因為它們通常包含稽核功能，可讓你識別任何的可疑行為或偏離標準協定的使用者。

使用 WAF 來密切關注流量情況

藉助 Web 應用程式防火牆（WAF），你可以瞭解進出伺服器和應用程式的所有流量情況。同樣，這只提供了一種檢測可疑行為或操作的方法，並讓你有機會在任何潛在的安全問題變得嚴重之前解決它們。

隨時隨地加密資料

你可以透過在每個傳送層加密資料，來增強資料安全性。此外，還可為檔案共享、任何通訊應用程式的使用，以及系統中儲存、存取和發送資料的任何其他地方，實施安全協定。

監視、監控、監測

透過持續監控，全盤掌握雲端環境中發生的情況。有些雲端安全性解決方案可讓你將雲端原生日誌與其他安全性解決方案（例如資產管理、漏洞掃描器、變更管理，甚至是來自外部的威脅洞察資訊）的日誌進行比較。

如何處理雲端安全性模型？

雲端安全性和私有雲

許多組織選擇私有雲環境，是因為他們覺得在自己的雲端中，他們可以更好地保護其敏感資料。然而，公用雲端可能比某些私有雲更安全，因為公有雲公司會聘請專門的安全專家，他們精通公有雲的安全風險，並熟知如何解決這些風險。在管理自己的雲端時，有些組織可能沒有所需的 IT 團隊或技能組合，以充分地保護其資料。

同樣地，在私有雲環境中，實體安全性也可能沒那麼有效，因為許多組織不願或無法負擔強大的安全性解決方案，來為其實體基礎架構提供保護。

專家建議採用以下的最佳實務來保護私有雲：

• 使用加密，尤其是對於傳輸送中的資料——這將確保資訊在私有雲和終端使用者裝置之間傳輸時的安全。虛擬私人網路（VPN）可以保護使用者裝置免受攻擊。安全資料傳輸層（SSL）也是一種很好的通訊協定，可用於確保資料傳輸的安全。

• 限制對雲端的存取 - 為了確保只有經授權使用者才能存取儲存在你私有雲中的資料，請使用強大的身分驗證解決方案（最好是多重要素身分驗證）或其他的存取控制應用程式。防火牆還可以幫助攔截未經授權的存取。

• 透過修補和更新軟體來減少漏洞 - 攻擊者最常見的一些入口點是過時的軟體。請務必及時修補你的作業系統和應用程式。

• 密切關注雲端中的活動 - 監視私有雲中發生的情況是檢測任何問題或未經授權存取的好方法。日誌管理工具可讓你瞭解誰在存取雲端中的資料，以及其存取時間。

• 定期備份雲端資料 - 透過保持資料的最新備份來抵禦攻擊。將它們儲存在私有雲本身之外的其他位置，並確保備份始終可以存取且隨時可用。

雲端安全性與公有雲

公有雲安全性與私有雲安全性有很大的不同，因為不像私有雲的單租戶性質，公有雲是多租戶的，而且通常可以透過公用網路進行存取。

通常，使用公有雲基礎架構的組織不必擔心實體安全性——公用雲端供應商會處理這個問題。如果組織透過公有雲使用軟體即服務（SaaS），其 IT 部門也無需擔心身分驗證、防火牆或靜態資料加密。

使用公用雲端中的基礎架構即服務（IaaS）模型，組織會受到「共同責任」概念的約束，其中雲端供應商會負責安全性的某些方面，而組織則處理其他方面。具體來說，雲端供應商負責保護雲端平台本身的安全，而組織則必須保護其在雲端中的實際資料，以及使用者對其雲端應用程式的存取。組織還將負責控制誰可以存取其公有雲中的資源和資料。

要在公有雲中保護你的資料和應用程式，熟悉自己的職責是最重要的最佳實務之一。瞭解在談及安全性時，對你的期望有哪些，這也意味著要瞭解雲端供應商還負責哪些方面。

專家建議要對你公有雲的所有方面都取得可見性。俗話說，「如果你看不到它，你就無法保護它。」所以實施持續監測和自動化來處理安全控制也是明智之舉，還要實施一個可以保護你所有環境（從生產到開發再到品質保證）的安全性解決方案。

雲端安全性與混合雲

如今，大多數組織都混合使用雲端（公有雲和/或私有雲），同時還維護著本地端基礎架構。這種混合雲模型正日益成為常態，並要求組織瞭解如何保護所有不同的環境。

安全性和監控解決方案並非總是考慮到混合雲模型，傳統上，它們是為本地端基礎架構或雲端而打造——但非針對兩者的混合。因此，端到端地保護混合雲模型可能會產生各種各樣的單點解決方案，但這些解決方案並非一直能夠很好地整合在一起。

因此，第一個最佳實務便是找到一種在設計時考慮到混合雲的安全性解決方案。其他建議包括：

• 確保取得對所有環境的可見性

• 盡可能地自動化和集中安全性

• 使用存取控制解決方案，並控制跨資料中心的流量

• 一致地稽核和監視你的環境

• 實施最少權限和零信任原則

• 盡可能使用開放技術（不限定工具和基礎架構）以實現靈活性

• 開發可應用於整個混合環境的安全標準和協定

• 保持資料和應用程式的最新備份

雲端安全性與多雲

雖然雲端安全性對任何的雲端模型（從私有雲到公有雲）都是有益的，但它對多雲環境尤其有益。根據 GigaOm 資料，92% 的企業已經轉向混合雲或多雲端策略，這主要歸功於其具有靈活、可擴充的特性。

雖然在預設的情況下，多雲端環境並不比其他雲端作業系統更複雜，但它確實需要透過「單一控制面板」獲得大量的控管力和可視性，來確保它在運行時不會出現常見的實施故障。

然而，對多雲端環境保持完整的可視性可能很複雜，通常會迫使許多企業選擇專攻雲端型的專家。隨著複雜性的增加，與維護環境相關的成本也一同增加。

這種可見性的缺乏可能導致未經檢查的安全風險傳遞到多雲端中。即便有專家在場，人為錯誤和日益複雜的網路攻擊也使得確保全天候的安全性變得幾乎不可能實現。實施自動化的雲端安全措施對於確保多雲端系統的安全至關重要，同時最大限度地減少了與維護一個專門的多雲端專家團隊相關的壓力和成本。

什麼是雲端安全性控制？

「雲端安全控制」一詞泛指所有不同的最佳實務、準則和建議，以用於保護雲端基礎架構免受攻擊，並防止雲端環境中的人為錯誤和其他漏洞。企業可以使用雲端安全控制作為一種清單或範本，以確保他們在部署雲端安全性解決方案時考慮到各個面向。

雲端安全聯盟（CSA）是一個組織，它「致力於定義和提高對最佳實務的認識，以幫助確保雲端運算環境的安全」，並定義了三種類型的雲端安全控制：

• 預防型，它可解決雲端系統中可能出現的一系列漏洞。

• 偵測型，它可以識別攻擊發生的時間，並在事件演變成全面的破壞之前向 IT 發出警報。

• 校正型，它可以在識別攻擊之後，幫助減少攻擊造成的損壞。

什麼是零信任，它為何如此重要？

零信任是一種安全設計原則和框架，其中假定任何使用者、伺服器、應用程式或網路都可能會受到損害。在零信任環境中，所有使用者都必須先經過身分鑑別和授權，然後經過不斷驗證，才能存取組織的資料和應用程式。

當組織採用零信任模型時，它必須圍繞沒有使用者能自動取得信任的假設來設計其安全協定。這也是以下安全實務中的一個關鍵考量因素：

• 安全開發生命週期

• 平台強化與自動化

• 網路微切分

• 身分驗證和存取管理

• 靜態資料加密功能

• 合規性、稽核與報告

在設計零信任安全性時，開發人員和 IT 團隊會使用多種策略，例如多重要素驗證、電子郵件內容檢查和安全性、出站流量防火牆、使用者和端點行為分析（UEBA）、基於使用者政策的微切分、讓使用者在虛擬桌面基礎架構池中彼此隔離，並使用公開金鑰基礎架構（PKI）和客戶端憑證來識別終端使用者連接。

雲端安全性和 Nutanix

作為領先的超融合基礎架構（HCI）供應商，以及混合雲端和多雲領域的專家，Nutanix 提供一系列的解決方案，旨在為你所有的運算環境提供世界一流的保護和安全性。我們明白，在當今以雲端為中心的世界中，安全性需要擺在最首要的位置，而安全考量需要從一開始就成為組織策略的一部分。

Nutanix 安全性解決方案，例如我們的混合雲安全性解決方案，就是以專為混合雲環境設計的強大軟體基礎作為起點。我們使用安全功能和通訊協定來幫助你增強對攻擊和其他安全威脅的防禦能力，並協助防止資料遺失和保持業務營運的正常運作。

藉助 Nutanix，你可以享受到各個級別的防禦，從平台到應用程式和網路，再到 SecOps、合規性和稽核策略。我們提供了一種多層級的方法，或稱為「縱深防禦」，可幫助你快速偵測攻擊並從攻擊中復原，還能防範許多其他類型的攻擊。

Nutanix 雲端安全性解決方案的好處包括：

保護資料並防範漏洞

• 加密靜態資料

• 控管並限制對敏感資料的存取

• 分析和稽核安全組態

• 保護你的混合雲

• 防止勒索軟體的傳播

切分和保護網路

• 在幾分鐘內部署好微切分和網路檢查

• 利用自動化軟體控制來分離受管制的環境

簡化法規和合規性工作

• 自動執行平台安全基準配置

• 驗證對各項法規政策（HIPAA、PCI、NIST 等）的合規性