強化雲端組態安全，3大公有雲CIS Benchmark是資安專家推薦首選

近年臺灣企業上雲比例大幅增加，面對雲端安全管理方面的挑戰，特別是3大公有雲環境中，如何確保正確的組態設定，以及啟用關鍵的日誌記錄服務，一直是資安專家反覆強調的議題。

特別的是，企業可參考的雲端安全組態相關標準或最佳實務已有不少，CIS Benchmark是經常提及的資源之一，只是，過往少有單一針對此標準的內容探討，在今年2025臺灣雲端大會上，Google Cloud客戶解決方案架構師鄭家明進一步解析這部分內容，幫助大家掌握其重點。

談到非營利組織CIS（Center for Internet Security），基本上，過去大家最熟悉的是其發布的CIS Controls，我們曾介紹過，這是一套適用於各類組織的通用資安控制框架。

至於CIS Benchmark則不同，是針對特定作業系統、應用程式與硬體設備而來，所制定相應的安全組態最佳實務指引，目前已推出數十種版本，涵蓋Microsoft IIS、MongoDB、NGINX、PostgreSQL等，亦包含AWS、Azure、GCP等主要雲端平臺。

面對雲端安全組態管理，原廠安全實踐文件太豐富，反成閱讀障礙

在雲端安全議題之下，企業上雲初期，最關注的事前防護，也就是建立良好的資安態勢（Security Posture）與資安實踐（Security Practice）。

簡單來說，這兩者相輔相成，資安態勢是指組織目前的整體防護能力與風險掌控程度，涵蓋安全機制、組態設定、漏洞狀況及威脅暴露程度；資安實踐則是組織日常落實的資安作業，例如權限控管、日誌監控、漏洞修補與合規稽核等。

而在雲端安全組態管理中的「資安最佳實踐」，採用的最大好處就是，可避免常見風險與組態錯誤，幫助建立初步的防護能力。但仍有不少剛上雲的企業，對於該從何著手感到困惑。

鄭家明談到他協助企業的經驗指出，許多客戶經常詢問，該如何在公有雲上制定安全政策，並有效要求SRE與維運人員執行相關安全措施。

事實上，以3大公有雲業者本身而言，皆提供大量「安全實踐」文件，內容涵蓋企業組織如何進行權限管控、Data Warehouse使用重點，以及資料保護、合規性、監控、事件應變與網路安全等多個面向。

然而，雖然原廠文件資訊豐富，但能深入閱讀並實際運用者卻不多。他詢問現場有多少人讀過這些安全文件，結果寥寥可數。

鄭家明亦舉例，有企業客戶向他反映，一份雲端安全文件可能包含多個超連結，層層引導至其他技術說明，此情形導致資訊難以有效掌握。儘管現在可藉助生成式AI協助歸納摘要，但面對豐富的資訊與繁多的控制措施，仍然容易讓人迷失方向，不知從何著手。

因此，內容更為精要的CIS Benchmark成為許多專家都推薦的關鍵資源，是入門雲端安全組態管理的實用參考工具。

對此，鄭家明持同樣看法，他並說明原因：此標準不僅涵蓋各主流公有雲的安全實踐與合規要求，且兼具足夠的廣度與深度，提供了詳細的配置指南，涵蓋雲端環境中常見的服務及功能，包括身分和存取管理 (IAM)、網路設置、儲存空間等。而且，CIS Benchmark也是免費下載取得，對企業而言相當實用。

鄭家明強調，遵循這些指南的好處很明顯，可以幫助組織禁用不必要的服務、限制不必要的權限、關閉開放的連接埠，從而大幅縮小潛在的攻擊面，減少被惡意攻擊者利用的機會。

確保企業上雲具備安全的組態設定，CIS Benchmark是重要參考資源，Google Cloud客戶解決方案架構師鄭家明指出，用戶可從相關文件快速理解不同平臺的管理結構與重點。

AWS、Azure、GCP皆有專屬CIS組態指引

具體而言，CIS Benchmark針對多個雲端服務服務皆提供對應文件，3大公有雲均不例外，並會持續改版，例如：

對應AWS，也就是CIS Amazon Web Services Foundations Benchmark，今年3月31日，新發布5.0版。

對應Azure，也就是CIS Microsoft Azure Foundations Benchmark，今年3月23日，新發布4.0版。

對應Google Cloud，也就是CIS Google Cloud Platform Foundation，今年5月2日，新發布4.0版。

更進一步來看，從上述這些文件的章節內容，我們可以了解三大公有雲在管理結構的差異。

例如，鄭家明以Google Cloud來舉例時，指出其CIS Benchmark共分為8大類別與84項控制措施，其類別包含：身分識別與存取管理、日誌與監控、網路、虛擬機器、儲存、Cloud SQL Database Services、BigQuery、Dataproc。

而我們也進一步檢視另兩家的內容，Azure的CIS Benchmark分為10大類別與逾150個控制項，類別包含：簡介、通用參考建議、分析服務、運算服務、身分識別服務、管理與治理服務、網路服務、資安服務，以及儲存服務。

AWS的CIS Benchmark，分為5大類與62個控制項，類別包含：身分識別與存取管理、儲存、登入、監控，以及網路。

在解析GCP的CIS Benchmark時，Google Cloud客戶解決方案架構師鄭家明特別將其8大章節對應到預防、偵測、回應三大階段，讓大家可以從生命週期角度來理解。

CIS Benchmark畫分兩種安全層級，並會標示可自動或手動

為了幫助大家更好理解CIS Benchmark的內容，鄭家明特別介紹該文件兩個關鍵概念：一是安全層級（Level）的定義，另一是控制項可自動或手動執行的標示。

首先，CIS Benchmark將控制項的特性，依照安全強度與實作難度，區分為Level 1與Level 2兩個層級。

簡單來說，Level 1屬於基本安全建議，目的是解決最常見、最關鍵的安全風險，藉此有效降低攻擊面。鄭家明指出，Level 1的控制項多半對系統服務影響小、導入成本低，較不會對企業運作造成衝擊，也較不易產生額外費用，適合大多數組織採用。

Level 2則是針對高度敏感資料與高風險環境所設計，涵蓋更嚴格的安全控制與較複雜的配置管理。鄭家明提醒，Level 2的實作可能影響系統可用性或需要額外成本，這是企業評估與規畫要考量的面向。

另一個CIS Benchmark的重要設計，是每個控制項均會標示「自動（Automated）」或「手動（Manual）」。

鄭家明解釋，雲端好處在於許多作業可以透過API來介接，換言之，標示為「自動」，代表該項控制能否被工具自動檢查或實施，像是可以結合事件管理系統，或是批次定期去檢測，但有些控制項只能依賴手動執行，這些資訊在文件中都會清楚標示出來。

可幫助使用者更清楚每一種控制項的意義，當中敘明理由與衝擊

關於CIS Benchmark的內容有何特色？鄭家明進一步說明，他強調：「這份文件並非只是條列該做什麼，而是會說明為什麼建議這麼做，而不是為做而做。」這有助於使用者理解背後的安全邏輯與必要性。

例如，在CIS Benchmark標準文件中，每個控制項都會列出6大重點，包含：安全基準層級、控制項描述，以及理由、衝擊、稽核、預防。他並舉出兩個Google Cloud控制項作為說明：

第一例，是1.1項的「確保使用公司登入憑證」，這是Level 1、標示手動的範例。

此控制項建議，企業在Google Cloud上應使用公司專屬的企業帳號，而非個人Gmail帳戶。

文件中也會解釋建議這麼做的原因，採用個人帳號會增加管理複雜度，尤其當公司規模擴大時。鄭家明舉例，若員工離職，企業可能無法有效管理其個人帳號，甚至面臨離職員工因衝突而登入雲端環境進行破壞的風險，這並非沒有發生過的事。

第二例，是3.8項的確保VPC網路每個子網域都啟用VPC流量日誌，這是Level 2、標示自動的範例。

基本上，這是針對網路控制的要求，建議必需開啟VPC Flow Log。他解釋，這是一種網路流量日誌記錄功能，用來記錄VPC內部封包間的傳輸活動，因此這個日誌量相當大，但對於資安監控極有助益。例如，透過分析這些日誌，企業能有效識別攻擊者的C2通訊，以及橫向移動或權限提升等攻擊跡象。這也就是解釋了：為何開啟VPC Flow Log很重要，因為資安監控效益高。

同時，文件也會說明此控制項可能帶來的衝擊，指出啟用VPC Flow Log將產生Cloud Logging、BigQuery或Cloud Pub/Sub的相關費用，可能導致成本增加。

過去許多資安專家不斷強調，企業上雲時，應該啟用VPC Flow Log功能，基本上，在CIS Benchmark中，就有此項針對網路控制的要求，建議啟用VPC Flow Log，該份文件的內容也會闡釋這麼做的用意與產生的衝擊，也會標示安全層級為Level 2與可自動化執行。

整體而言，企業該如何運用？鄭家明指出，實務上，企業可以參考CIS Benchmark建議項目並搭配原廠文件，檢視完整設定步驟以及可能產生的影響，例如服務可用性、費用、使用限制。

並且，企業可以優先關注Level 1建議項目，並依風險等級、資安需求、維運狀況等條件綜合考量，評估在高風險系統及應用情境，例如高機敏系統、DMZ應用情境，以實施Level 2建議項目。

雲平臺同樣發展合規檢查能力，並朝向更主動防護邁進

另一方面，對應雲端資安合規的需求，不論AWS、Azure、GCP，這些平臺本身也都具備相應的能力。

例如，各平臺皆支援CIS Benchmark等標準的自動檢查，並涵蓋多項雲原生服務的配置規範，讓用戶可以更有效掌握配置狀況。而且，這些功能也在不斷演進與強化。

以Google Cloud為例，鄭家明指出，在其資訊安全指揮中心Security Command Center（SCC）中，將可執行CIS Benchmark合規檢查功能，一鍵自動檢查其中77個控制項（全部有84個），達成約91%的自動化覆蓋率。至於整體SCC的合規檢查項目，更是有超過250項。

然而，遵循安全實踐僅是建立基本防線，最近幾年，如何用生成式AI更主動強化風險緩解，已成為資安業界的重要趨勢。我們看到許多資安業者均提出，要「透過AI自動發現攻擊路徑，找出建議的阻斷點」。

鄭家明同樣提到這點，並說明目前Google的作法。他表示，當出現不合規情況時，使用者可在SCC儀表板中看到警示項目，點擊後可檢視掃描結果與問題細節。

更重要的是，不只侷限於偵測單一配置問題，現在更已發展出透過 AI 自動「識別高風險組合」的能力。鄭家明舉例，不僅是發現防火牆不當配置，再結合找到主機有高風險漏洞，加上還有服務帳戶過度授權等情形，進而透過AI自動找出攻擊路徑，並快速計算整體風險分數。

接下來，系統還要提供具體的修補建議，使防禦措施更加主動完善。例如，提供可以快速降低風險的「短期修補建議」，以及根本性解決問題的「長期修補建議」，這有助於在資訊量龐大的情況下，快速釐清修補優先順序，更有效率地降低整體風險等級。這也顯示資安防禦策略正持續擴展主動識別與因應的模式。