如何透過雲端,強化基礎架構安全性? 以Web Hosting為例,教雲端小白簡單上手!

Mandy Lin / Marketing Specialist

若將系統架構搬上雲端託管,那麼安全性該是誰的責任?全球前三大公有雲服務供應商—AWS、Microsoft Azure及GCP皆提出「共同責任模型」,明確表示了企業與雲端服務供應商之間的安全性責任歸屬。依照企業使用雲端的程度和情境不同(如下圖中的IaaS、PaaS、SaaS),管理責任也不太一樣,但資料、使用者裝置和身份存取企業必須自行管理與保護的範圍。

Azure所提出的共同管理責任模型。企業上雲後須注意部分的控制權與安全管理。

▲ Azure 所提出的共同管理責任模型。企業上雲後須注意部分的控制權與安全管理。

換句話說,由於部分管理責任轉嫁到雲端服務商,當然會比自建data center和自架機器來的方便、安全,但雲上的工作負載也是需要企業防護的。如同地端的防護,從雲上的底層架構奠定資安基礎是企業上雲第一要務。

 

什麼是 Well-Architected Framework?

為了幫助企業更容易了解,眾多公有雲服務都有提出最佳架構模型,幫助企業端評估自己的雲端架構規劃。以Azure為例,微軟官方推出Azure Well-Architected Framework中便將雲端規劃架構拆解成可靠性、安全性、成本最佳化、卓越營運及效能效率這五大主軸,並提供檢核問卷,協助管理員瞭解組織在雲端和地端的安全狀態及完備度,並提供實作的參考架構。

  1. 可靠性:系統從失敗中復原並繼續運作的能力
  2. 安全性:保護應用程式和資料,使其免於威脅
  3. 成本最佳化:管理成本以將傳遞的價值最大化
  4. 卓越營運:讓系統在生產環境中順利運作的作業流程
  5. 效能效率:系統適應負載變更的能力

 

基礎防護隨開即用!以Web Hosting on Azure為例

現今有愈來愈多企業選擇將網站架設在雲端主機上,尤其是互聯網產業如電商、平台服務商,以降低它們在地端架站的負荷,不用擔心實體機異常而導致服務斷線,一鍵啟動資安防護功能,並能彈性啟用資源,應付檔期間衝高的流量。以下便以常見的虛擬主機用途—web hosting為例,說明Azure內建的幾項基礎安全防護功能。

 

  • 雲端流量 - Azure DDoS Protection

DDoS攻擊至今仍是最猖獗的攻擊手法支一,攻擊者藉由操控殭屍電腦,以流量癱瘓目標網站或服務,對於現今的網路產業而言,電商網站、服務平台若是中斷將會是一場災難。過往使用地端主機,需要另外加購DDoS產品並加以整合,而雲端原生的DDoS防護服務可以隨時啟用,不需考慮相容性或更新問題。

Azure DDoS Protection將進入網站服務的流量預先進行自動偵測、過濾、分析再放行,如果流量來源或頻率異常,這像雲端服務會協助產生警示,對網路邊緣的流量進行清除。

 

  • 雲端主機 - Microsoft Defender for Cloud

除了網路流量,雲端主機本身的安全性也很重要。Microsoft Defender for Cloud過去稱為Azure Defender及Cloud App Security,它如同一位雲端智慧管家,當雲端或混合式環境中偵測到進階威脅,它會提出安全性警示,告訴管理員事件影響的資源、問題與建議行動,以保護雲端工作負載免於威脅。持續評定安全性態勢,並產出安全分數與合規性檢核報告,可以幫助管理員提高整體環境的能見度。

 雲端Defender提供的一覽式資安報告。

雲端Defender提供的一覽式資安報告。

 

  • 虛擬防火牆 - Web Application Firewall(Azure WAF)

WAF是常見的基礎安全建設之一,當然也可以透過雲端更輕鬆的完成,取得更完善的雲端保護。Azure Web Application Firewall(以下簡稱Azure WAF)是雲端原生的Web應用程式防火牆服務,可以避免 SQL Injection、惡意程式等常見的網路駭客攻擊。如同企業熟悉使用的防火牆,管理員可以自訂義保護規則,隨時啟用這項服務,讓可靠的守門員看管您的雲端存取。

 

從底層架構出發,先有安全的雲端,再談雲端安全

雲端的管理模式雖然和地端大不同,但是安全性管理的邏輯大同小異。如果企業還在疑慮雲端到底安不安全?或許我們該思考的是,自建環境與自架機器,要自己負擔所有的安全性責任,成本也高得多,受到惡意攻擊或非預期風險而斷線的機率更高。

市面上確實有愈來愈多針對雲端安全防護的強大產品及解決方案,但對於初步接觸雲端、或是專精領域不在雲端的MIS人員而言,最實際的建議是先安全的上雲,打好底層基礎、依據需求和預算規劃完善的架構,再來談論進階防護。如同人體需常保體質強健,再補充營養品才能彰顯功效,否則虛耗預算事小,疏於風險管理事大,最終還是得回歸基礎架構來修復安全性問題。

 

延伸閱讀