在混合云时代打造安全可靠的企业云

台大电机工程研究所博士候选人李伦铨。

企业云端化近几年来已成为重要议题，其中又以混合云成为今年的热门焦点。台大电机工程研究所博士候选人李伦铨指出，企业自建云的比例，因为成本考量，已经从2012年的83.4%，下降到2013年的73.7%，反观混合云的比例，从2012年7.8%上升至2013年的11.9%，而选择公有云的比例，也从2012年的8.8%，上升至2013年的14.4%，由此可知，选择混合云及公有云可望成为未来趋势。

至于采用云端的产业方面，目前仍是以政府机关与学校单位的进度较快，在IaaS服务采用趋势方面，主要是以云端储存服务、VM虚拟机器租用及VPC企业虚拟私云为主；在SaaS服务采用趋势方面，包括云端个人储存、云端Office？在线文书、云端企业邮件、云端视讯会议等，都是相当热门的应用。值得注意的是，根据hicloud的统计，企业私有云采用虚拟私云的使用比例，由2012年的10.9%，成长到2014年的19.7%，显示越来越多企业开始使用虚拟私云服务。

但企业上云端可能会面临许多问题，如云端服务要自建还是委外？那些业务要放置于云端？如何放？稳定吗？更重要的是，成本是否有因此下降？李伦铨表示，企业自行导入私有云可能面临的问题，除了硬件设备与虚拟化软件的选择问题外，还要面对软硬件安装建置维运的技术问题，初期建置成本不但昂贵，营运成本也十分惊人，往往导致企业就算有很棒的创意，也不敢贸然尝试创新。

更重要的是，企业运作一旦上云端，就得面临与过去不一样的网安问题。李伦铨指出，各时代存在的网安问题各不相同，威胁若未因环境改变而清除，就会持续累积下去，最后爆发出严重问题。

以云端网安事件为例，包括VM加密缺陷、Hypervisor & VM漏洞、帐号？安全管理问题、CA问题与凭证盗用、影响系统可用度，或是碰到不良服务商，都可能导致各种网安问题的发生。

此外，来自于云端的威胁，也是层出不穷。如分散式阻断服务攻击(DDoS)，是一种透过大量合法或伪造的请求，占用大量网络带宽或系统资源，达到瘫痪正常服务目的的攻击行为，由于是利用多台设备同时发动攻击，攻击效果更为显着。

李伦铨表示，黑客通常会利用殭屍网络(Botnet)或DNS Ampification Attack来发动DDoS攻击。面对DDoS的威胁，企业除了要避免自己的主机遭入侵而成为打手外，有些运营商也已提供DDoS防护服务，从骨干设定防御设备阻挡攻击流量，可降低影响的程度。

此外，移动设备也可能因为用户的疏忽，下载到恶意程序而导致网安问题发生。李伦铨表示，因应之道除了仅安装来自可信任来源的软件外，也要留意软件安装权限，定期更新移动设备的操作系统，谨慎选择数据备份范围，避免将机敏或隐私数据误送到云端。

而在面对木马程序威胁方面，李伦铨建议，除了要安装防毒软件，并定时更新病毒码外，最好能使用双因子认证，强化登入安全性，口令强度也要设法提高，以避免黑客用「撞库」方式，用各种帐号口令组合，大规模尝试登入用户帐户，进而突破企业的防御。

至于系统漏洞方面，因为开发人员在撰写网页应用程序时，可能没有考虑安全，或是使用不安全的模块？范例程序，导致黑客容易入侵。如虚拟化的关键技术Hypervisor，若有漏洞遭黑客成功利用，可能会影响其他的虚拟环境，云端服务商对于Hypervisor更新及架构安全，必须非常重视，确保虚拟化环境的安全性。

但即使系统修补到最新，黑客仍可能从人员身上骗取信息。李伦铨指出，人往往是系统中最脆弱的一环，即便是系统人员有良好训练，黑客仍可直接对使用者施展社交工程手法，尤其是进阶持续性渗透攻击(Advanced Persistent Threat；APT)，往往会参杂社交工程与系统漏洞，长期对特定组织进行入侵，成为极大的威胁。

李伦铨建议，企业一定要慎选虚拟私云，企业需要的不是硬件数量，而是资源如CPU能量、储存空间等，而且要有弹性，同时兼顾快速及安全的需求，将适当业务，运用公有云或虚拟私云进行延伸，才能更弹性地应用IT资源和降低成本。