推動(dòng)云端技術(shù)革新的六大安全趨勢

公有云比地端部署基礎(chǔ)架構(gòu)更加安全？這是無庸置疑的，但前提是機(jī)構(gòu)所采用的云端環(huán)境，必須跟得上云端安全防護(hù)優(yōu)勢的全球趨勢。

為了改善機(jī)構(gòu)的安全防護(hù)措施，決策者必須掌握以下六項(xiàng)趨勢：

趨勢1：公有云的成本效益
許多大型機(jī)構(gòu)正面臨傳統(tǒng)地端部署數(shù)據(jù)中心環(huán)境日漸復(fù)雜的問題。公有云供貨商的產(chǎn)品服務(wù)規(guī)模，并不會(huì)增加作業(yè)復(fù)雜性，反而是一大優(yōu)勢。因?yàn)楣性瓶梢猿浞职l(fā)揮規(guī)模經(jīng)濟(jì)的效益，降低部署單位的費(fèi)用，以更便宜的價(jià)格進(jìn)行基礎(chǔ)控管，將安全性作為最優(yōu)先的考慮，進(jìn)而投資與實(shí)施地端部署基礎(chǔ)架構(gòu)無法比擬的安全防護(hù)措施。

舉例來說，Google Cloud的基礎(chǔ)安全架構(gòu)采用零信任原則，任何網(wǎng)絡(luò)、裝置、人員及服務(wù)在證明其安全性之前都不會(huì)授予信任，因此安全性超越一般地端部署標(biāo)準(zhǔn)。該架構(gòu)采用深度安全防御機(jī)制，可透過多層控管措施來防范設(shè)定錯(cuò)誤和攻擊。默認(rèn)的安全防護(hù)技術(shù)包括采用Titan安全性芯片，用于安全啟動(dòng)，以及為傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)進(jìn)行加密，另一項(xiàng)技術(shù)為機(jī)密運(yùn)算節(jié)點(diǎn)，可為處于使用中狀態(tài)的數(shù)據(jù)加密。


 
圖一 : Titan安全性芯片可以用于安全啟動(dòng)，以及為傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)進(jìn)行加密。

趨勢2：「命運(yùn)共同體」模式的重要性
妥善實(shí)施安全防護(hù)措施并非易事，采用地端部署環(huán)境的機(jī)構(gòu)必須自行負(fù)責(zé)建立有效的安全防護(hù)機(jī)制。然而云端運(yùn)算一直以來都是以共同責(zé)任模式為基礎(chǔ)，這是一種具有相互依賴性的命運(yùn)共同體模式：云端服務(wù)供貨商負(fù)責(zé)保護(hù)底層基礎(chǔ)架構(gòu) （即云端服務(wù)安全性），而客戶則負(fù)責(zé)確保設(shè)定、數(shù)據(jù)保護(hù)及存取權(quán)的安全性 （即使用云端時(shí)的安全性）。



 
圖二 : 云端運(yùn)算以共同責(zé)任模式為基礎(chǔ)，這是一種具有相互依賴性的命運(yùn)共同體模式。

除了分配責(zé)任以外，這種模式也讓云端客戶和云端服務(wù)供貨商共同享有成功經(jīng)驗(yàn)。Google Cloud于預(yù)設(shè)將安全性納入考慮的設(shè)定、安全環(huán)境設(shè)定藍(lán)圖、堆棧政策階層，以及法規(guī)遵循認(rèn)證、稽核內(nèi)容、監(jiān)管法規(guī)遵循支持、評(píng)分設(shè)定透明度，甚至是風(fēng)險(xiǎn)防范計(jì)劃保險(xiǎn)等形式的控管機(jī)制保證。


趨勢3：資安領(lǐng)域的良性競爭
全球公有云供貨商競相提供更優(yōu)異的安全防護(hù)機(jī)制，整個(gè)產(chǎn)業(yè)的安全性強(qiáng)化功能發(fā)展速度與規(guī)模也隨之提升。這樣的市場競爭讓云端安全防護(hù)規(guī)范越來越嚴(yán)格，同時(shí)也提升了云端靈活性與生產(chǎn)力，進(jìn)而帶來效能優(yōu)于地端部署環(huán)境的創(chuàng)新安全防護(hù)技術(shù)。

云端環(huán)境成效將始終領(lǐng)先于地端部署環(huán)境，因?yàn)榈囟瞬渴瓠h(huán)境的競爭力較弱，且難以逐步提供更卓越的安全防護(hù)機(jī)制。盡管地端部署環(huán)境可能永遠(yuǎn)不會(huì)完全消失，但是透過云端環(huán)境方面的競爭，將能夠以地端部署環(huán)境從未達(dá)到、也無法達(dá)到的方式，推動(dòng)安全技術(shù)創(chuàng)新。

Google Cloud 的專屬工程團(tuán)隊(duì)采用安全漏洞檢測做法，并綜合數(shù)萬名客戶優(yōu)異的創(chuàng)新技術(shù)精華，為所有使用者簡化這些技術(shù)并主動(dòng)汲取相關(guān)知識(shí)。這種清楚、精確且淺顯易懂的安全性政策主張，有助于協(xié)助客戶在風(fēng)險(xiǎn)更低的情況下進(jìn)一步發(fā)展。


趨勢4：云端環(huán)境可作為數(shù)字免疫系統(tǒng)
公有云供貨商不斷推出數(shù)百項(xiàng)更新，每一項(xiàng)安全性更新都是根據(jù)要求、威脅、安全漏洞或全新攻擊技術(shù)而研發(fā)。因此，安全性方面的改良并非只是應(yīng)對(duì)措施，而是可以擊潰所有攻擊種類的功能強(qiáng)化工作。假如客戶沒有可以應(yīng)用這類型資源的大型安全性團(tuán)隊(duì)，那么可以采用最合適的安全策略，便是使用云端服務(wù)所提供的每一項(xiàng)安全功能更新來保護(hù)網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)，這就像是獲得了一個(gè)全球數(shù)字免疫系統(tǒng)一樣。


趨勢5：軟件定義基礎(chǔ)架構(gòu)：持續(xù)監(jiān)控控管機(jī)制與政策意圖
相較于地端部署，云端環(huán)境的一大優(yōu)勢為軟件定義基礎(chǔ)架構(gòu)。這代表云端環(huán)境能夠以更靈活的方式進(jìn)行設(shè)定，讓客戶免去硬件配置或管理作業(yè)的負(fù)擔(dān)。從安全性的角度來看，這代表客戶能夠?qū)踩哉咧付槌绦虼a、持續(xù)監(jiān)控其設(shè)定成效，也能在更低的作業(yè)風(fēng)險(xiǎn)下，變更建構(gòu)與應(yīng)用模型，并允許分階段進(jìn)行變更與實(shí)驗(yàn)。

提升安全性的兩個(gè)軟件定義基礎(chǔ)架構(gòu)包括Google Cloud的BeyondProd模型和SLSA架構(gòu)。BeyondProd 可讓微服務(wù)在公有云、私有云和第三方托管的環(huán)境中，藉由精細(xì)的控管功能安全地運(yùn)行，而SLSA架構(gòu)則制定了滿足軟件供應(yīng)鏈完整性的條件，并將其應(yīng)用至軟件開發(fā)與部署作業(yè)。云端安全防護(hù)機(jī)制可讓客戶充分享有調(diào)整業(yè)務(wù)與技術(shù)的靈活性，進(jìn)而在可靠性風(fēng)險(xiǎn)更低的情況下積極采取更嚴(yán)格的控管措施。


趨勢6：基礎(chǔ)架構(gòu)部署速率與擴(kuò)充性
由于云端環(huán)境的規(guī)模，供貨商需透過持續(xù)整合/持續(xù)部署（CI/CD）系統(tǒng)，自動(dòng)化軟件部署和更新作業(yè)。這么做可以確保各地產(chǎn)品版本一致，提供安全性強(qiáng)化功能、頻繁的改良功能和安全性更新，在大規(guī)模實(shí)現(xiàn)可靠性的同時(shí)，也能在發(fā)生任何問題時(shí)快速進(jìn)行復(fù)原。最終，客戶能在風(fēng)險(xiǎn)更低的情況下進(jìn)一步提高工作效率。

Google Cloud的安全性和其他機(jī)制均以API為基礎(chǔ)，且在各產(chǎn)品中皆保持一致，讓設(shè)定管理作業(yè)可透過程序輔助方式進(jìn)行，也就是以程序代碼形式進(jìn)行設(shè)定。這個(gè)做法讓客戶能采取CI/CD做法進(jìn)行軟件部署和設(shè)定作業(yè)，以便保持云端使用情形一致性，進(jìn)而提升部署速度。

云端企業(yè)安全性的發(fā)展前景晴空萬里
以上六大趨勢為公有云帶來地端部署基礎(chǔ)架構(gòu)無法比擬的重大安全防護(hù)優(yōu)勢。云端運(yùn)算持續(xù)協(xié)助機(jī)構(gòu)透過比以往更少的成本及精力，實(shí)現(xiàn)規(guī)模經(jīng)濟(jì)、控管安全性風(fēng)險(xiǎn)、運(yùn)用創(chuàng)新安全防護(hù)技術(shù)、提升數(shù)字免疫力、享有控管設(shè)定的優(yōu)勢，并發(fā)揮高速部署的效益。
（本文由Google提供，作者為Google Cloud1亞太區(qū)安全技術(shù)副總Mark Johnston、2韓國安全技術(shù)專員Jinwon Seo、3中國臺(tái)灣地區(qū)技術(shù)副總林書平、4大中華區(qū)安全技術(shù)副總Ken Zhang）