全球雲端安全日 World Cloud Security Day
Published by Yi-Lang Tsai under 資訊安全, CSA on 4/03/2025 10:00:00 上午每年的四月三日是全球雲端安全日 (World Cloud Security Day),回想到 2011 年在台灣成立了雲端安全聯盟台灣分會 (Cloud Security Alliance Taiwan Chapter),開始接觸與進入了雲端安全的世界,在當時的年代對於雲端安全是相當陌生的,想要推廣雲端安全的認知,許多的人並不覺得雲端跟自己有什麼關係,有許多的企業也認為怎麼可能把企業營運資料,放到遠在天邊不知處的雲端服務中,一個看似天方夜譚的世界,假以時日卻已經成為我們生活的日常,在現在的時代中,已有數不清的應用透過雲端的平台來完成,有更多的服務更連結了行動的裝置,提供使用者更便捷的方式來使用資訊服務,萬物聯網的世界,更是利用雲端的架構,鏈結了所有的物聯網裝置,從智慧家庭、智慧工廠、智慧應用到整個智慧城市、智慧國家,都可以看到雲端服務平台的影子。
想要深入雲端安全的各個面向,可以由雲端安全聯盟 (Cloud Security Alliance) 的全球工作小組(Working Group) 談起,目前分成了 11 種類型共計 41 個主題,每個工作小組都由產業專家與領域專業人士領導與組成,並且深入各個議題的研究與討論,在全球雲端安全日的這天,除了提醒我們要留意使用雲端服務時的資訊安全議題,也可以從這些工作小組的發展,提早掌握未來全球的發展趨勢,掌握先行者的優勢,其中以威脅情資 (Threat Intellignece)、資安服務 (Security Services)、評估與審計 (Assessments and Audits)、人工智慧 (Artificial Intelligence)以及新興技術 (Emerging Technologies)所啟動的工作小組最多,可見這些類型在雲端安全議題上的重要性。
雲端服務對於個人來說,便利性是最大的優點,我們可以透電腦、平台、手機等聯網裝置,快速的與雲端平台進行連線,並且享用由雲端運算所帶來的強大運算力,透過應用程式所提供的服務平台,取得各式各樣所需要的應用服務,平均一隻手機上面所安裝的 App 可能超過 250 個的現實情況下,資訊安全就應該成為每一個人所應該留意的,因為與我們個人相關的數位資產,已有向雲端遷移的趨勢,包括了我們外出旅旅時拍攝的照片、工作上所需要使用的檔案、控制家中智慧家電的服務等,涵蓋了各種食衣住行育樂的應用,都可以快速的利用手機上的應用程式,透過建置在雲端平台上的應用服務快速取得所需要的服務。而便利性與安全性往往是互相拉扯的,越方便的使用者方式,就有可能帶來對於資安上的疑慮,不過所幸目前已有越來越多的資安防護機制,例如:多重因素驗證 (Multi-Factor Authentication, MFA)、無密碼登入 (Passwordless)等,這些都是對於傳統與典型的資安防護機制進行改善的作法。
對於企業而言,透過雲端服務的導入可以進行企業本身的數位轉型,並且縮短完成的時間以及提供營運的效率,目前使用雲端服務平台的企業,多數以平台即服務 (PaaS) 以及 軟體即服務 (SaaS) 的型式最多,前者可以提供企業自建所需要的應用程式環境,但是可以減少自行管理作業平台的複雜問題,只需要專注在應用程式的開發以及運作環境的準備,而後者則是目前最多被採用的型態,例如:Microsoft Office 365、Google Workspace、Jira、ClickUp等,這些大多被應用於企業的環境中,做為支持企業持續營運的重要基礎。而其中的資安問題可以從資料流動 (Data Flow) 的角度進行思考,透過應用程式介面 (Application Programming Interface, API) 進行各式各樣的資料交易,都可能因為一個不小心,就讓企業賴以生存的關鍵資料,因為資安的威脅、駭客的攻擊,容易對於企業帶來重大的營運考驗,近年來駭客的攻擊行動,已經從攻擊個人到政府,發展出針對企業發動攻擊的手法與模式,而且多數的駭客攻擊與資安事件都與勒索軟體有關,一旦企業發生資安事件所帶來的營運損失往往是不可計數的。
在人工智慧的浪潮下,雲端與人工智慧 (Artificial Intelligence, AI) 的運作已經無縫的接軌,從雲端安全聯盟的角度來看,已經不是過往透過單一具備高速運算的計算中心,就能夠滿足與達成 AI 運算的需求,所有的 AI 運算,從前幾年流行的機器學習 (Machine Learning)、深度學習 (Deep Learning),發展到現在的大語言模型 (Large Language Model, LLM),而 LLM 作為 AI 技術的一個重要應用,其發展與 AI 的推動進步直接相關,現在已有許多的應用服務基於大語言模型進行研發與推出服務,像我們所熟悉的 ChatGTP 就是 OpenAI 基於所發展的模式,例如:GPT-4o 可適合大部分問題,GPT-4.5 則適合研究預覽與適合寫作與探索靈感,o1 可使用進階推理,而 o3-mini 則可以應用於快速進階推理的需求。可惜的是目前在國內重視建置資料中心的硬實力,而忽視應用服務軟體的軟實力所帶來的強大效益,還是不乏看到許多的政府大型計劃,仍然還是停留在自主建置資料中心的思維,並無法發展出具有影響全球的應用服務,從國際的發展趨勢而言,雲端化才是未來的決勝點,但其中的資訊安全議題就成為最重要的關鍵。
歷年的 InfoSec Taiwan 國際資安大會 (https://www.infosec.org.tw/),雲端安全的議題逐年增加,受到的關注的程度也持續成長,從 2024 年起台灣數位安全聯盟 (TaiWan Cyber Security Alliance, TWCSA) 與國內幾個公協會共同成立「台灣資安大聯盟 (Taiwan Digital Defense Consortium, TWDDC)」以及連結了八個國際組織台灣分會一同主辦,可見資訊安全的議題已成為各個領域都必須關切的重要議題,其中每年雲端安全聯盟所發佈的產業報告、白皮書或是即將成為全球一致性標準的指引,都是會議上受到高度重視與討論的項目。
雲端安全不是透過資安方案或是一次性的建置就可以達成的,而是一個持續監控與精進的過程,因應雲端架構與環境的複雜化,透過關注雲端安全聯盟的最新發展趨勢,也不失為一個好的方法,呼應一下本文最前面所提到的全球工作小組,這些都是在當下最受到關注,也是急需建立全球共識與產業發展趨勢的重要議題,建議對於雲端安全有興趣與需求的人,可以隨時回訪雲端安全聯盟的網站,或是直接參與各工作小組的運作,以掌握最新的資訊。
最後,在全球雲端安全日 (World Cloud Security Daya) 的這天,除了提醒自己本身對於使用雲端服務平台須要留意的資安風險外,也歡迎想要參與與更瞭解雲端安全發展趨勢的各行各業,一同加入雲端安全聯盟國內與國際會員,細節可以向台灣數位安全聯盟洽詢相關事宜。
台灣數位安全聯盟 https://www.twcsa.org/
服務信箱 service@twcsa.org
PS: 本文中有部份圖案由 ChatGPT 生成。