推動(dòng)云端技術(shù)革新的六大安全趨勢

公有云比地端部署基礎架構更加安全？這是無(wú)庸置疑的，但前提是機構所采用的云端環(huán)境，必須跟得上云端安全防護優(yōu)勢的全球趨勢。

為了改善機構的安全防護措施，決策者必須掌握以下六項趨勢：

趨勢1：公有云的成本效益
許多大型機構正面臨傳統地端部署數據中心環(huán)境日漸復雜的問(wèn)題。公有云供貨商的產(chǎn)品服務(wù)規模，并不會(huì )增加作業(yè)復雜性，反而是一大優(yōu)勢。因為公有云可以充分發(fā)揮規模經(jīng)濟的效益，降低部署單位的費用，以更便宜的價(jià)格進(jìn)行基礎控管，將安全性作為最優(yōu)先的考慮，進(jìn)而投資與實(shí)施地端部署基礎架構無(wú)法比擬的安全防護措施。

舉例來(lái)說(shuō)，Google Cloud的基礎安全架構采用零信任原則，任何網(wǎng)絡(luò )、裝置、人員及服務(wù)在證明其安全性之前都不會(huì )授予信任，因此安全性超越一般地端部署標準。該架構采用深度安全防御機制，可透過(guò)多層控管措施來(lái)防范設定錯誤和攻擊。默認的安全防護技術(shù)包括采用Titan安全性芯片，用于安全啟動(dòng)，以及為傳輸中的數據和靜態(tài)數據進(jìn)行加密，另一項技術(shù)為機密運算節點(diǎn)，可為處于使用中狀態(tài)的數據加密。


 
圖一 : Titan安全性芯片可以用于安全啟動(dòng)，以及為傳輸中的數據和靜態(tài)數據進(jìn)行加密。

趨勢2：「命運共同體」模式的重要性
妥善實(shí)施安全防護措施并非易事，采用地端部署環(huán)境的機構必須自行負責建立有效的安全防護機制。然而云端運算一直以來(lái)都是以共同責任模式為基礎，這是一種具有相互依賴(lài)性的命運共同體模式：云端服務(wù)供貨商負責保護底層基礎架構 （即云端服務(wù)安全性），而客戶(hù)則負責確保設定、數據保護及存取權的安全性 （即使用云端時(shí)的安全性）。



 
圖二 : 云端運算以共同責任模式為基礎，這是一種具有相互依賴(lài)性的命運共同體模式。

除了分配責任以外，這種模式也讓云端客戶(hù)和云端服務(wù)供貨商共同享有成功經(jīng)驗。Google Cloud于預設將安全性納入考慮的設定、安全環(huán)境設定藍圖、堆棧政策階層，以及法規遵循認證、稽核內容、監管法規遵循支持、評分設定透明度，甚至是風(fēng)險防范計劃保險等形式的控管機制保證。


趨勢3：資安領(lǐng)域的良性競爭
全球公有云供貨商競相提供更優(yōu)異的安全防護機制，整個(gè)產(chǎn)業(yè)的安全性強化功能發(fā)展速度與規模也隨之提升。這樣的市場(chǎng)競爭讓云端安全防護規范越來(lái)越嚴格，同時(shí)也提升了云端靈活性與生產(chǎn)力，進(jìn)而帶來(lái)效能優(yōu)于地端部署環(huán)境的創(chuàng )新安全防護技術(shù)。

云端環(huán)境成效將始終領(lǐng)先于地端部署環(huán)境，因為地端部署環(huán)境的競爭力較弱，且難以逐步提供更卓越的安全防護機制。盡管地端部署環(huán)境可能永遠不會(huì )完全消失，但是透過(guò)云端環(huán)境方面的競爭，將能夠以地端部署環(huán)境從未達到、也無(wú)法達到的方式，推動(dòng)安全技術(shù)創(chuàng )新。

Google Cloud 的專(zhuān)屬工程團隊采用安全漏洞檢測做法，并綜合數萬(wàn)名客戶(hù)優(yōu)異的創(chuàng )新技術(shù)精華，為所有使用者簡(jiǎn)化這些技術(shù)并主動(dòng)汲取相關(guān)知識。這種清楚、精確且淺顯易懂的安全性政策主張，有助于協(xié)助客戶(hù)在風(fēng)險更低的情況下進(jìn)一步發(fā)展。


趨勢4：云端環(huán)境可作為數字免疫系統
公有云供貨商不斷推出數百項更新，每一項安全性更新都是根據要求、威脅、安全漏洞或全新攻擊技術(shù)而研發(fā)。因此，安全性方面的改良并非只是應對措施，而是可以擊潰所有攻擊種類(lèi)的功能強化工作。假如客戶(hù)沒(méi)有可以應用這類(lèi)型資源的大型安全性團隊，那么可以采用最合適的安全策略，便是使用云端服務(wù)所提供的每一項安全功能更新來(lái)保護網(wǎng)絡(luò )、系統和數據，這就像是獲得了一個(gè)全球數字免疫系統一樣。


趨勢5：軟件定義基礎架構：持續監控控管機制與政策意圖
相較于地端部署，云端環(huán)境的一大優(yōu)勢為軟件定義基礎架構。這代表云端環(huán)境能夠以更靈活的方式進(jìn)行設定，讓客戶(hù)免去硬件配置或管理作業(yè)的負擔。從安全性的角度來(lái)看，這代表客戶(hù)能夠將安全性政策指定為程序代碼、持續監控其設定成效，也能在更低的作業(yè)風(fēng)險下，變更建構與應用模型，并允許分階段進(jìn)行變更與實(shí)驗。

提升安全性的兩個(gè)軟件定義基礎架構包括Google Cloud的BeyondProd模型和SLSA架構。BeyondProd 可讓微服務(wù)在公有云、私有云和第三方托管的環(huán)境中，藉由精細的控管功能安全地運行，而SLSA架構則制定了滿(mǎn)足軟件供應鏈完整性的條件，并將其應用至軟件開(kāi)發(fā)與部署作業(yè)。云端安全防護機制可讓客戶(hù)充分享有調整業(yè)務(wù)與技術(shù)的靈活性，進(jìn)而在可靠性風(fēng)險更低的情況下積極采取更嚴格的控管措施。


趨勢6：基礎架構部署速率與擴充性
由于云端環(huán)境的規模，供貨商需透過(guò)持續整合/持續部署（CI/CD）系統，自動(dòng)化軟件部署和更新作業(yè)。這么做可以確保各地產(chǎn)品版本一致，提供安全性強化功能、頻繁的改良功能和安全性更新，在大規模實(shí)現可靠性的同時(shí)，也能在發(fā)生任何問(wèn)題時(shí)快速進(jìn)行復原。最終，客戶(hù)能在風(fēng)險更低的情況下進(jìn)一步提高工作效率。

Google Cloud的安全性和其他機制均以API為基礎，且在各產(chǎn)品中皆保持一致，讓設定管理作業(yè)可透過(guò)程序輔助方式進(jìn)行，也就是以程序代碼形式進(jìn)行設定。這個(gè)做法讓客戶(hù)能采取CI/CD做法進(jìn)行軟件部署和設定作業(yè)，以便保持云端使用情形一致性，進(jìn)而提升部署速度。

云端企業(yè)安全性的發(fā)展前景晴空萬(wàn)里
以上六大趨勢為公有云帶來(lái)地端部署基礎架構無(wú)法比擬的重大安全防護優(yōu)勢。云端運算持續協(xié)助機構透過(guò)比以往更少的成本及精力，實(shí)現規模經(jīng)濟、控管安全性風(fēng)險、運用創(chuàng )新安全防護技術(shù)、提升數字免疫力、享有控管設定的優(yōu)勢，并發(fā)揮高速部署的效益。
（本文由Google提供，作者為Google Cloud1亞太區安全技術(shù)副總Mark Johnston、2韓國安全技術(shù)專(zhuān)員Jinwon Seo、3中國臺灣地區技術(shù)副總林書(shū)平、4大中華區安全技術(shù)副總Ken Zhang）