企業上雲應首重雲端的安全治理，多雲、混合環境成主流，簡化管理複雜性是關鍵

近年來，為推動IT現代化與數位轉型，全球企業上雲趨勢日益顯著，臺灣也在慢慢跟上腳步，然而，在這急遽轉變的時期，企業將面臨混合IT與轉型的挑戰，雲端資安防護也成關注重點。

我們該如何思考雲端安全管理策略？從最近公布的多份雲端安全報告可看出規畫重點，而在近日舉行的臺灣雲端大會，勤業眾信資深執行副總經理林彥良綜合相關分析報告，提醒企業需了解當今雲端平臺可能威脅，並應從雲端安全治理角度出發，才不會盲目上雲，且呼籲國內企業更要重視雲端、地端整合風險管理策略。

雲端資安威脅多是管理疏失，配置錯誤問題最普遍

有了多家業者發布的雲端安全報告，能幫助大家瞭解雲端安全問題與趨勢。例如，5月20日，國際資訊系統安全核準聯盟（ISC2）發布「2022雲端安全報告」；6月7日，雲端安全聯盟（CSA）也發布新版「Top Threats to Cloud Computing」的報告，更早之前，還有去年下半Google針對GCP入侵案例分析的Threat Horizons報告，以及Fugue與Fugue聯合發布的雲端安全現況報告。

有那些雲端安全議題，是2022年企業最需關注的重點？林彥良指出，混合雲與多雲絕對是企業會採用的方向，而且現在的雲端應用面向，越來越五花八門，有不同的使用方式，他們就曾遇過有公司用雲端來做資料保護，而且是用Salesforce來保護其研發流程與技術。

不過，雲端的特性與平臺的管理，所衍生出各式議題，企業必須予以正視。否則企業轉型不好，等於門戶大開。

從雲端服務常見的資安威脅來看，在近一年的雲端安全報告中，有幾個重點值得關注。首要就是雲端配置錯誤的問題，幾乎每一份報告都會提到這類威脅，不論是資料庫資料檔案的存取，或是系統存取，幾乎都是因為配置錯誤引起。

還有一些問題集中在權限與組態，像是帳號、憑證、金鑰與特權帳戶管理不足，使用不安全的接口與API。

從大多數雲端資安問題來看，我們可以發現：犯罪組織與APT攻擊的威脅，其實在雲端環境並非主流，因為駭客直接從企業基本配置問題切入，就已經可以找到許多破口。

需積極建立雲端管理能力與知識，存取控制思維也要轉變

對於還沒上雲的企業而言，首先，所抱持的思維必須跟著轉變，不能單純從地端去思考雲端上的配置，因為這麼做其實難以找到共通的管理點，而且，若將地端環境這套管理邏輯，原封不動直接搬到雲端，應該設定的IAM卻都沒有設定，到了雲端，就等於變成「裸奔」，形同將內部應用全部對外開放。

而且，在他們過往查核的經驗中，曾遇過採用混合雲的企業，雖提供雲端與地端的不同清單，但流程都是一樣，這樣其實並沒有轉型。

為何上述雲端安全配置會如此困難？林彥良強調，對於雲端環境的理解是第一要務，其次，是不要用地端邏輯去思考雲端架構，特別是多雲環境。

此外，臺灣企業上雲普遍會從地端逐步遷移到雲端，在混合雲環境當中，雲端與地端整合的風險管理策略，需要特別重視。更進一步來看，如何簡化管理的複雜性，將會是企業在多雲與混合環境上的關鍵。

再繼續探究下去，我們可以發現：現在企業可能面臨的最大問題，就是雲端安全人才的不足，人員缺乏管理雲端複雜環境的資安技能，事實上，這並非是否了解資安，而是很多企業根本搞不清楚雲端環境。

更何況是多雲環境，雖然管理邏輯架構一樣，但原本程序名稱、功能不同該如何應對？

林彥良表示，他們在多年前就開始鼓勵臺灣企業，要設立架構師的職位，因為以他們IR事件應變的經驗來看，第一件事通常不是檢查Log紀錄，而是要先找到懂環境全貌的人。企業要上雲亦是如此，同樣需要對雲端環境完整了解。

他並提醒，雲端平臺上所有操作紀錄與監控必須開啟，不要因為需付費而關閉，一旦缺乏安全可見性與監控能力，將無從管理，並要考量雲端、地端結合過程的主從關係。

另一個企業普遍會遇到的挑戰，就是自身沒有足夠能力維運雲端環境時，會選擇委外。然而，企業要注意，若是全部交給系統廠商負責，這代表把整個運行環境，交給一個有合約但約束力不高的廠商，如果企業又沒有對廠商做管理與要求，等於環境完全被對方抓在手裡，或是可能發生移交到正式環境，單純的配置失誤變成無法修補的情形。

因此，企業不僅是要重視雲端委外監督與管理責任分工，特別是在相關權限的檢查，應該由自己負責去做，並了解整個環境的情況，不該將這樣的工作交給廠商去做。

同時，還要注意的是，從地端遷移到雲端，存取控制的思維也要轉變。像是在用戶與資料安全方面，上雲之後通常會需要採用新的身分識別方式，而資料保護、隱私保護、法規均能作為資料存取權限設定的依據，在核心應用安全性面，企業上雲前應確定已實行最低限度的控制措施，如最小權限管理、安全登入區域、工作負載防護、DevSecOps、零信任與攻擊面管理等。

無論如何，數年前全球就在談企業上雲這件事，從國外的經驗與例子來看，現在已傾向地端不再擴展，新應用都往雲端發展，並會有很多原生雲服務去取代地端的應用，而PaaS的應用規模也將大於IaaS。林彥良也特別指出，在勤業眾信最新的一份調查中，在100位財務長中，有94人希望將ERP搬到雲端，反應出普遍渴望上雲的態勢。

在國內，我們現在也追趕著上雲、用雲的潮流，因此林彥良也提供一些建議，指出企業可從服務的邏輯去思考，從業務的角度去設想，自身優先要將那些應用服務搬上雲端，接下來則關注法規、安全、資料保護與供應鏈要求等。最關鍵的還是，要讓組織可以用同一套管理架構，做好雲地整合管理，同時，也要繼續思考企業需要什麼樣新的人才，舊的人才該如何調整。

前幾年談企業上雲時，雲端安全的共同責任模型（Shared responsibility model）已經受到資安專家談論多次，雲服務提供商與上雲的企業組織用戶都有各自要負擔的責任，這已經是基本概念，除了雲服務供應商持續強化自身，相對地，企業上雲如何顧好自身安全就是討論焦點。