安全合規的環境日益複雜,全球有132個國家與地區已制定資料保護和隱私相關法規。台灣金融監督管理委員會(金管會)在2021年頒布設立資安長(CISO)的新準則,資安長不僅需要肩負風險管理的責任,亦須在業務拓展上扮演重要推手。Amazon Web Services(AWS)除了確保其雲端基礎設施以及所提供的雲端服務的安全合規,也不斷幫助客戶掌控雲端的安全,共同應對資安威脅,滿足不斷變化的合規需求。
AWS台灣暨香港總經理王定愷認為,「資安不僅是雲端團隊的責任,更應該是企業共同的責任。很多的資安危機和創新應用都是從雲端而來,因此雲世代資安長的職能不僅要有宏觀及微觀的管理能力,同時也需要具備一定的技術基礎,維護企業內部安全外,也必須帶領團隊處理不同樣態的資安挑戰。」
隨著雲端遷移,除了考量成本、業務敏捷外,資安的雲端部署也將重新配置。
王定愷表示:「很多駭客都是從雲端而來,因此企業的技術與經驗能力不對稱,將很難與駭客做攻防。IT人員常常有的刻板印象就是,有了VPN、內網、防毒軟體就是安全的。但看得見的資安危機不一定是安全的。」
AWS雲端本身的安全合規奠基於高度彈性且可靠的基礎設施以及雲端上各項服務的安全性,使客戶能夠快速、安全地部署應用程式和資料,並採用冗餘和分層控制、持續驗證和測試,確保底層基礎設施得到7 X 24小時全天候的監控與保護。其次,AWS提供如洋蔥般的多層安全防護,提升客戶在雲端中的安全。
安全責任共擔模型與合規
AWS首創安全責任共擔模型,推動安全及合規建設,AWS負責底層雲端基礎設施和所提供雲端服務的安全,客戶負責雲端內部的安全,客戶的責任由自行選擇的AWS雲端服務決定。AWS目前提供280種以上的安全合規服務,協助客戶在雲端上創新的同時確保自身的安全合規。例如Amazon GuardDuty透過機器學習的方式,搜索各階段的攻擊樣態以進行防禦,增加駭客的難度。
另外,AWS秉持客戶擁有和控制自己資料的原則,讓客户能對資料進行加密、移動以及存取,而AWS則提供複雜的技術和物理措施以防止未經授權的存取。再者,AWS的API管理和安全工具,可自動執行安全任務,包括執行狀態檢測、保護、威脅修復和回應,減少人工配置錯誤。
AWS台灣暨香港專業解決方案架構師經理楊仲豪分享:「雲端安全始於基礎設施,而AWS資料中心從設計之初便重視每項服務的安全性,透過深度整合的服務實現自動化並降低風險。」
合規方面,AWS擁有98項安全標準與合規認證,並定期對數千個全球合規性要求進行第三方驗證,以幫助客戶達到財務、零售、醫療保健、政府等方面的安全性與合規性標準。
然而楊仲豪提醒,合規只是安全的開始,而安全必須是持續性的。善用雲端持續增強企業的韌性,而非只為了臨時應付稽核。
AWS也攜手許多合作夥伴,打造安全合規的雲端治理。例如在台灣,AWS與趨勢科技一起為客戶提供雲端防護解決方案,以支援客戶在 AWS上的創新。
趨勢科技台灣區技術總監劉家麟表示:「雲端資安的第一步,即須強化環境的可視性。藉由持續性的自動化檢查與整合式的自動修復能力,不僅為資安人員提供雲端資產、服務及設定的可視性,更減少雲端服務成本,並且縮短解決問題的時間。」
有效的資安治理需與公司的商業決策並行
資安長的核心職能為業界近期關注的焦點。 AWS台灣暨香港總經理王定愷表示,雲世代資安長不僅應具備技術能力,亦須具備管理能力。最重要的是,資安長應該輔佐公司的商業決策,而非讓安全成爲業務創新的阻礙。因此,雲世代的資安長除了要認知「雲端是安全的」,更應該清楚自己的核心價值,能夠承上溝通,獲取信任與授權,使管理階層了解公司的資安風險。
橫向溝通是雲世代資安長的要能之一。王定愷分析,隨著公司業務發展,以及ESG、數據治理等趨勢浪潮的推動下,現在IT人員的任務範疇已遠遠超過傳統IT被賦予的使命,例如現在的IT人員可能需要協助做資料分析、社群媒體、線上行銷、AI等發展。
「然而,有些企業無法有效利用新工具應對現行的趨勢,停留在傳統的思維與工具中,我們稱之為『科技債』,這將大幅影響企業的成長。」
雲世代的資安治理必須改變以往地端的思維,擁抱雲端的技術,唯有越了解相關資訊,才能減少資安治理的不確定性與潛在風險。