當今,世界各地甚至在外太空都在使用雲端運算。AWS目前為全球30個地理區域(截止至2022年12月)的客戶提供服務,並透過柯伊伯計畫(Project Kuiper),將一組衛星送入軌道,為全球服務尚未覆蓋以及服務受限的社區提供快速且價格合理的寬頻服務。雲端的廣泛使用代表資料正以指數級速度大量儲存在雲端當中。2020年,人們每秒鐘產生1.7 MB的資料。根據預測指出,到2025年將產生463 EB的資料。同時,企業對雲端運算和資料的依賴越趨成長,因此企業需要更多相關技術人才來加速上雲之旅。隨著企業加速推動創新,資料安全對於業務的穩定成長和雲端運算的發展至關重要。
推陳出新的技術與人類的發展緊緊相扣,而我們也在兩者的交集中,看到了發展雲端安全的可能,並相信「自動化」將成為優化繁重工作的關鍵,使客戶聚焦在雲端安全的規劃,並快速應對潛在安全事件。
在AWS,「安全」是我們的首要任務。我們每天都在努力贏得每位客戶的信任。我的其中一個核心任務,就是研究如何為客戶的潛在安全事件做好準備。以下也與大家分享我們對於2023年及未來安全發展方向的觀點。
預測一:安全將成為企業每項工作中一環
不斷增加的資安風險驅使用戶遷移上雲,因為安全是雲端的核心,雲端的每一個設計環節皆考量到安全。隨著自動化安全服務和工具的增加,企業將關注持續的安全性和合規性,以在數位轉型之初就創建更容易實現安全的環境。
客戶常常與我們分享他們如何透過雲端擴展業務,例如從地端的安全技術轉向以雲端運算為主共同的責任模型(由AWS負責雲端本身安全,客戶負責雲端內部安全的共擔模型),利用雲端技術將安全的工作流程自動化,才能跟上業務成長的速度,並使業務環境更加安全。在過去,雲端創新在資料中心的應用上並不常見,但如今雲端運算提供的創新資料防護幫助企業建構安全文化,並將安全融入到營運當中,使企業輕鬆兼顧業務成長與安全。
「安全」始於維護一個有效的安全計畫,包括管理身份許可權、保護網路和基礎設施、識別和應對威脅、資料保護及合規證明。雲端運算將這些任務自動化,例如:日誌記錄、監控、審計、修補以及整合現有工具集等。透過安全管理存取控制服務AWS Identity and Access Management(IAM)、安全標準化紀錄服務AWS CloudTrail、加密和數位簽署資料金鑰AWS Key Management Service(AWS KMS)、應用程式防火牆AWS WAF,及雲端安全狀態管理AWS Security Hub等基礎工具,可以了解資料的儲存位置、存取者、存取時間、加密狀態、移動位置、可疑操作,以及是否容易受到常見的漏洞攻擊。雲端技術在未來幾年將持續發展,並進一步帶動自動化需求呈指數級成長。
另一方面,企業將更聚焦在持續的安全與合規。我們從客戶、合作夥伴和內部從事維護安全服務的開發人員之中瞭解到,雲端服務的快速創新使整合安全變得更加容易,並更進一步落實安全。雲端安全服務和工具的易用性,使客戶能提高開發速度和安全標準,從而安全地交付成果。例如使用自動化軟體漏洞管理Amazon Inspector和集中式營運中心AWS Systems Manager可以幫助客戶自動為基礎架構的服務和應用程式打補丁,減少手動修補負擔,並簡化為多作業系統打補丁的過程,大幅提升工作效率。
預測二:多元化將有助於解決安全人才缺口
隨著雲端服務規模擴大,企業對於安全專業人員的需求也隨之成長,「多元化」正是解決此問題的關鍵。我們相信優先聘用具有不同教育和職業背景、擁有多樣性思維,以及來自不同文化背景的人才才能使企業在安全性方面有所突破。
截至2021年,全球約有419萬名資安從業人員,但目前仍存在272萬的人才缺口。彌補安全人力缺口是改善各地安全狀況的關鍵。企業可以優先考慮具有多元背景的面試者以縮小安全專業人才的缺口,例如透過宣導多元化、平等和包容(Diversity, Equity, and Inclusion,DE&I),並成立類似Amazon Affinity Group以重新評估招聘標準。近半數安全專業人員的相關技能與經驗是在IT產業之外培養的,這是一件值得鼓勵的現象。如果企業根據態度和能力招聘員工並進一步培訓其技能,我們相信企業將能更加安全與成功。此外,為取得大學教育和安全認證所付出的高昂費用,是不同背景的人難以進入IT產業的門檻之一,因此企業不應只局限於特定的技術學位和認證,而是嘗試招聘不同領域的人才。
擁有多元背景的安全人員將為這個產業注入更獨到的安全思維,這將帶來更強大的防禦性。例如英國有些機構正積極雇用具有多樣性思維且善於觀察資料規律的員工。對我們來說,安全中的多元性不僅代表平等,也意味著企業能擴大內部解決問題的能力,以優化防禦水準。
多元化招募是AWS企業文化的關鍵。AWS可以招聘沒有安全工作背景的人才,因為AWS相信提供安全培訓幫助員工成長並留住人才非常重要。我們深信教育是幫助個人和企業改善安全狀況的關鍵,為此我們免費為員工提供亞馬遜安全意識培訓(Amazon Security Awareness training)與導師計畫來鼓勵員工成長,並與年輕世代的夥伴建立連結,以推廣STEM教育。AWS認為雲端安全營運自動化也許能協助彌補人才缺口,但無法解決根本問題,「以人為本」還是提升企業安全性的首要任務。
預測三:人工智慧與機器學習支援的自動化帶來更強的安全性
人工智慧(Artificial Intelligence,AI)與機器學習(Machine Learning,ML)有助於優化開發人員的工作流程、協助創建更可靠的程式碼、持續改善安全性,為雲端安全自動化的關鍵。
在過往,「安全」是一個二元性且有規則可循的系統,如今雲端運算能建構強大防禦,並採用有效的互補策略來應對已知威脅改變此模式。在雲端安全下一階段的演變中,人工智慧應用於威脅檢測和修復將更加普遍,且機器學習也將賦能安全工程師的技術能力,幫助他們在雲端中建立更安全的架構和應用。
此外,人工智慧與機器學習的預測能力可以提供客戶在面對不斷變化的威脅環境時建立更主動的安全情勢。近年來隨著居家辦公和混合辦公模式興起,人們在不同網域上的工作型態改變,更多的網路威脅也因應而生,例如威脅者會利用勒索軟體、網路釣魚和社交工程攻擊等方式勒贖企業資產。
在日益複雜的混合環境中,AWS的服務如智慧威脅監測Amazon GuardDuty、安全調查服務Amazon Detective、程式碼檢查服務Amazon CodeGuru和資料安全服務Amazon Macie等,將為安全與機器學習整合奠定基礎,並透過智慧推薦為客戶提供規模化支援。這些具有機器學習能力的雲端服務可以快速反覆運算以獲取大量資料,查明異常情況並就安全性漏洞、代碼品質和潛在威脅提供智慧建議,為企業帶來許多益處。例如Amazon GuardDuty推出的DNS聲譽建模,將來自AWS的DNS請求輸入到模型中,並根據行為特徵將全新的功能變數名稱預歸類為惡意或良性的。AWS發現DNS聲譽建模在商業威脅反饋前的7至14天,就能識別惡意網域,提供精準度極高的威脅檢測。
人工智慧和機器學習在安全領域的另一個應用是合規。由AWS所建構的人工智慧技術如自動推理,使客戶能輕鬆瞭解複雜系統內的合規狀況,並自動檢測在全球資料集中的異常情況。在過往,許多安全和合規的任務需要人工互相評估與更改權限,再加上被動式管理的模式,使許多工作困難重重。AWS服務如雲端稽核自動化AWS Audit Manager、安全管理存取控制服務AWS Identity and Access Management(IAM)Access Analyzer等工具能自動消除人工干預,使客戶在變動IT基礎設施前就能輕鬆瞭解其合規狀況與許可權資訊。AWS Audit Manager為客戶所需的合規性框架(如支付卡產業資料安全標準、IoT安全中心和美國國家標準與技術研究所NIST)自動蒐集資料,無需仰賴即時人工評估。此外,不間斷的資料蒐集過程使客戶能隨時調用所需的框架合規性報告。IAM Access Analyzer使客戶可以監控自家的安全策略,防止資料被過度廣泛地存取。一旦策略被寫入,IAM Access Analyzer就會在不需要人工干預的情況下監控授權。未來幾年安全的觀念將不斷進步,雲端供應商、合作夥伴網路和雲端使用者生態將進一步發展自動化能力,推動全球雲端安全的演進。
如上所述,人工智慧和機器學習驅動的安全創新幫助解決安全業者面臨的挑戰,例如安全營運中心(Security Operation Center,SOC)分析師的工作量,讓安全架構師有更多時間進行威脅建模,而不必驗證應用程式是否關閉防火牆,或是伺服器是否打了補丁。
目前我們只觸及到雲端安全領域AI/ML的皮毛。隨著雲端運算呈現指數級成長,安全需求也將隨之快速增長,並進一步驅動自動化和智慧驅動的安全需求。
預測四:加大對資料保護的投入
隨著海量的資料呈指數級成長,資料保護仍然是AWS客戶和全世界最關心的問題之一。我們將看到更多的資料保護法規上路、更多相關專案的投入,以及實現自動化轉型。
歐盟一般資料保護規則(General Data Protection Regulation,GDPR)與加州消費者隱私保護法(California Consumer Privacy Act,CCPA)等只是資料保護立法的開端。根據思科2019年的調查發現,近半數(47%)受訪者認為,遵守GDPR的公司更值得信賴。隨著資料保護領域越趨成熟,大眾對資料保護法的需求不斷成長,政府透過立法以回應日趨成長的需求。根據Gartner的預測,到2024年底全球75%的個人資料將受到法規保護。
在接下來的幾年裡也將看到企業加大對資料保護的投資。
根據Gartner預測,到2024年大型企業的平均年度隱私預算將超過250萬美元。部分投資將用於評估資料風險、執行持續管理、資源管理任務,以及開發工具在內的資料保護計畫,在維持業務穩定營運的同時降低資料風險。
在AWS,贏得客戶信任是我們業務的基礎。我們的承諾是將持續關注隱私監管與相關立法的發展,並確保客戶所需的工具能滿足他們的合規需求。我們確保客戶透過AWS服務和工具(例如Amazon IAM、CloudTrail、Macie等)來控制資料,並確定資料儲存位置、安全性以及資料存取權限。AWS也透過提供服務來保護資料隱私,使客戶達成隱私控制,包括高級存取、加密和日誌功能。此外,客戶也能選擇在AWS遍佈全球的任何一個或多個區域中儲存資料,放心地將資料儲存在選定的AWS區域當中。
預測五:更先進的多重要素驗證將更加普遍
未來採用生物識別和多模式身份驗證的形式將更加普遍,例如多重要素驗證(Multi-factor authentication,MFA)將安全性和可用性互相結合,確保用戶在改善安全狀況的同時獲得順暢體驗。
MFA是最簡單且最重要的安全保護方式之一,使攻擊者難以在密碼洩露於網路或員工受到社交工程攻擊時獲取帳戶資訊。密碼的安全係數較低且容易洩露,而MFA能加強帳戶的安全性,在密碼防護之外,加設額外的驗證因素(例如生物特徵識別等使用者的既有資訊)。
多因素指的是使用兩個或更多的因素認證,包括漫遊(如Yubikeys和Virtual Authenticators)和平台(如Windows Hello和Apple FaceID等設備)。多模式則代表使用多種生物特徵來存取系統,依靠個人獨特的生物特徵以驗證身份,通常涵蓋一個物理或行為特徵。依賴生物特徵識別將使MFA為客戶提供更加順暢、自然的體驗。在多模式生物特徵系統中,將結合物理生物特徵因素(指紋、聲音、虹膜或臉部識別)與行為因素(鍵擊、手勢、抓握等)。現今MFA被廣泛地用於商業與個人用途,AWS相信下一個先進應用將更普遍地採用多模式生物特徵認證,因為MFA更加便利且安全。
全球各地政府與知名企業對安全的日益重視趨使MFA的使用日漸廣泛。如FIDO(Fast IDentity Online)聯盟、美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)和美國政府等組織正在推動MFA作為線上保護的基礎。
預測六:量子運算將有利於提高安全性
目前量子運算尚未成為大眾的關注焦點,但它正在逐步演進,量子安全也以加密技術的形式隨之推進。AWS已經開始著手為後量子時代做準備。長遠而言,我們希望量子運算在未來能大幅提高安全性,但在現階段各個公司應該確保他們使用最新的加密方法來保護資料安全。
有些研究顯示,量子運算有朝一日將變得更加普遍且實用,雖然目前尚不清楚確切的時間點,但預計會削弱部分的加密技術,包括我們用於HTTPS和TLS等資料傳輸安全協定的加密演算法。業界目前正在研究量子安全與後量子加密技術,其中不同的演算法和不同的金鑰大小提供了與現今相同的安全級別,甚至可以匹敵量子電腦。隨著加密演算法和協定不斷演進,未來設備的連接方式也將發生轉變,我們的手機、筆記型電腦和伺服器將採用量子運算這項新技術,以確保通訊隱私。
從長遠發展來看,我們期待量子運算推動雲端安全的發展。一旦企業運用更多量子運算和量子演算法,將能以有別以往的方式去思考經典演算法,甚至改進經典演算法,並激發創造性解決方案的推出。例如一名量子研究人員已經能將傳統電腦與量子電腦的能力做匹配,向使用者推薦喜歡的產品。
目前業界對量子運算尚存疑慮,加密技術的標準也正持續發展中。NIST仍在努力進行為期多年的後量子加密技術標準化的多輪評估,預計在2024年前制定新的量子安全標準。AWS與許多大型企業正參與其中,我們提交了BIKE與SIKE兩個選項,兩者皆通過第一輪篩選,並將82個原始提案縮減至26個。此外,考慮到不同的方法會權衡性能的不同方面(例如更快的計算但更高的網路負荷),NIST也將會對多個提案進行標準化。
展望未來,AWS將持續與其他企業合作,共同實施未來標準,並繼續開發和實施後量子加密。建立和控制用於加密和數位簽署資料的金鑰AWS KMS已經支援TLS 1.2部分混合後量子金鑰交換演算法。
結語
我們相信安全將成為企業工作的核心,驅使每個員工都為安全負責,並成為業務和創新的驅動力。AWS將持續創新並提供最佳實踐,以推動雲端安全領域的發展,讓安全成為客戶未來業務和技術創新的核心力量。