每年的四月三日是全球雲端安全日 (World Cloud Security Day)，回想到 2011 年在台灣成立了雲端安全聯盟台灣分會 (Cloud Security Alliance Taiwan Chapter)，開始接觸與進入了雲端安全的世界，在當時的年代對於雲端安全是相當陌生的，想要推廣雲端安全的認知，許多的人並不覺得雲端跟自己有什麼關係，有許多的企業也認為怎麼可能把企業營運資料，放到遠在天邊不知處的雲端服務中，一個看似天方夜譚的世界，假以時日卻已經成為我們生活的日常，在現在的時代中，已有數不清的應用透過雲端的平台來完成，有更多的服務更連結了行動的裝置，提供使用者更便捷的方式來使用資訊服務，萬物聯網的世界，更是利用雲端的架構，鏈結了所有的物聯網裝置，從智慧家庭、智慧工廠、智慧應用到整個智慧城市、智慧國家，都可以看到雲端服務平台的影子。

想要深入雲端安全的各個面向，可以由雲端安全聯盟 (Cloud Security Alliance) 的全球工作小組(Working Group) 談起，目前分成了 11 種類型共計 41 個主題，每個工作小組都由產業專家與領域專業人士領導與組成，並且深入各個議題的研究與討論，在全球雲端安全日的這天，除了提醒我們要留意使用雲端服務時的資訊安全議題，也可以從這些工作小組的發展，提早掌握未來全球的發展趨勢，掌握先行者的優勢，其中以威脅情資 (Threat Intellignece)、資安服務 (Security Services)、評估與審計 (Assessments and Audits)、人工智慧 (Artificial Intelligence)以及新興技術 (Emerging Technologies)所啟動的工作小組最多，可見這些類型在雲端安全議題上的重要性。

雲端服務對於個人來說，便利性是最大的優點，我們可以透電腦、平台、手機等聯網裝置，快速的與雲端平台進行連線，並且享用由雲端運算所帶來的強大運算力，透過應用程式所提供的服務平台，取得各式各樣所需要的應用服務，平均一隻手機上面所安裝的 App 可能超過 250 個的現實情況下，資訊安全就應該成為每一個人所應該留意的，因為與我們個人相關的數位資產，已有向雲端遷移的趨勢，包括了我們外出旅旅時拍攝的照片、工作上所需要使用的檔案、控制家中智慧家電的服務等，涵蓋了各種食衣住行育樂的應用，都可以快速的利用手機上的應用程式，透過建置在雲端平台上的應用服務快速取得所需要的服務。而便利性與安全性往往是互相拉扯的，越方便的使用者方式，就有可能帶來對於資安上的疑慮，不過所幸目前已有越來越多的資安防護機制，例如：多重因素驗證 (Multi-Factor Authentication, MFA)、無密碼登入 (Passwordless)等，這些都是對於傳統與典型的資安防護機制進行改善的作法。

對於企業而言，透過雲端服務的導入可以進行企業本身的數位轉型，並且縮短完成的時間以及提供營運的效率，目前使用雲端服務平台的企業，多數以平台即服務 (PaaS) 以及 軟體即服務 (SaaS) 的型式最多，前者可以提供企業自建所需要的應用程式環境，但是可以減少自行管理作業平台的複雜問題，只需要專注在應用程式的開發以及運作環境的準備，而後者則是目前最多被採用的型態，例如：Microsoft Office 365、Google Workspace、Jira、ClickUp等，這些大多被應用於企業的環境中，做為支持企業持續營運的重要基礎。而其中的資安問題可以從資料流動 (Data Flow) 的角度進行思考，透過應用程式介面 (Application Programming Interface, API) 進行各式各樣的資料交易，都可能因為一個不小心，就讓企業賴以生存的關鍵資料，因為資安的威脅、駭客的攻擊，容易對於企業帶來重大的營運考驗，近年來駭客的攻擊行動，已經從攻擊個人到政府，發展出針對企業發動攻擊的手法與模式，而且多數的駭客攻擊與資安事件都與勒索軟體有關，一旦企業發生資安事件所帶來的營運損失往往是不可計數的。

對於國家整體來說，利用雲端服務平台可以增加國家層級的數位韌性 (Digital Resilience)，對於台灣目前在國際上的局勢而言，善用雲端服務平台的建置，可以減緩因為關鍵基礎設施以及重要的應用服務遭受網路攻擊時所帶來的影響，目前在全球主要的雲端服務平台供應商，包括了 Google Cloud Platform、Amazon AWS 以及 Microsoft Azure 等，都已經在國內設有雲端資料中心，主要也是因應國內對於雲端服務上的需求，政府可以透過自行建立的雲端服務平台，整合主要的雲端服務供應商提供的資源，配合全球化的數位發展，將重要的數位資料與資產，應用雲端服務所帶來的優點，避免因為遭受網路攻擊而影響到應用服務正常運作的可能性。

在人工智慧的浪潮下，雲端與人工智慧 (Artificial Intelligence, AI) 的運作已經無縫的接軌，從雲端安全聯盟的角度來看，已經不是過往透過單一具備高速運算的計算中心，就能夠滿足與達成 AI 運算的需求，所有的 AI 運算，從前幾年流行的機器學習 (Machine Learning)、深度學習 (Deep Learning)，發展到現在的大語言模型 (Large Language Model, LLM)，而 LLM 作為 AI 技術的一個重要應用，其發展與 AI 的推動進步直接相關，現在已有許多的應用服務基於大語言模型進行研發與推出服務，像我們所熟悉的 ChatGTP 就是 OpenAI 基於所發展的模式，例如：GPT-4o 可適合大部分問題，GPT-4.5 則適合研究預覽與適合寫作與探索靈感，o1 可使用進階推理，而 o3-mini 則可以應用於快速進階推理的需求。可惜的是目前在國內重視建置資料中心的硬實力，而忽視應用服務軟體的軟實力所帶來的強大效益，還是不乏看到許多的政府大型計劃，仍然還是停留在自主建置資料中心的思維，並無法發展出具有影響全球的應用服務，從國際的發展趨勢而言，雲端化才是未來的決勝點，但其中的資訊安全議題就成為最重要的關鍵。

歷年的 InfoSec Taiwan 國際資安大會 (https://www.infosec.org.tw/)，雲端安全的議題逐年增加，受到的關注的程度也持續成長，從 2024 年起台灣數位安全聯盟 (TaiWan Cyber Security Alliance, TWCSA) 與國內幾個公協會共同成立「台灣資安大聯盟 (Taiwan Digital Defense Consortium, TWDDC)」以及連結了八個國際組織台灣分會一同主辦，可見資訊安全的議題已成為各個領域都必須關切的重要議題，其中每年雲端安全聯盟所發佈的產業報告、白皮書或是即將成為全球一致性標準的指引，都是會議上受到高度重視與討論的項目。

雲端安全不是透過資安方案或是一次性的建置就可以達成的，而是一個持續監控與精進的過程，因應雲端架構與環境的複雜化，透過關注雲端安全聯盟的最新發展趨勢，也不失為一個好的方法，呼應一下本文最前面所提到的全球工作小組，這些都是在當下最受到關注，也是急需建立全球共識與產業發展趨勢的重要議題，建議對於雲端安全有興趣與需求的人，可以隨時回訪雲端安全聯盟的網站，或是直接參與各工作小組的運作，以掌握最新的資訊。

最後，在全球雲端安全日 (World Cloud Security Daya) 的這天，除了提醒自己本身對於使用雲端服務平台須要留意的資安風險外，也歡迎想要參與與更瞭解雲端安全發展趨勢的各行各業，一同加入雲端安全聯盟國內與國際會員，細節可以向台灣數位安全聯盟洽詢相關事宜。

台灣數位安全聯盟 https://www.twcsa.org/

服務信箱 service@twcsa.org

PS: 本文中有部份圖案由 ChatGPT 生成。