博弘助企业善用工具 建立多层云端防御架构

Nextlink博弘云端科技解决方案处处长宋青云。

毋庸置疑，云端安全是现今重大课题，欲实现此目标，有赖于共同责任模型之运作，一方面由服务供应商致力维护云端基础安全，二方面由用户本身负责云端内部安全。因此一个完整的云端防护架构，从外到内理应蕴含多个层次，包含实体安全、网络安全、系统安全及数据安全。

Nextlink博弘云端科技解决方案处处长宋青云指出，以其代理销售的亚马逊云端服务(Amazon Web Services；AWS)而论，已针对多层次防护需求展开绵密布局。

首先，亚马逊凭藉多年营运大型数据中心的历练，藉由无特徵的设施、强大的边界管理、严格的进出管控、多层的身份验证，扞卫「实体安全」；其次AWS针对DDoS、中间人攻击、IP欺骗、未经授权的端口扫描、封包监听等防御需求都提供对应工具，协助用户强化「网络安全」。

在「系统安全」部份，AWS藉由可靠的系统映像(AMI)、安全性组态管理、修补程序管理等相关服务，确保操作系统与应用程序安全，另藉由EC2 Roles for IAM、AWS IAM Credential管理等机制，严加管控AWS API存取。

至于「数据安全」，则蕴含逻辑存取控制、使用者授权(含强力的口令规定、金钥、凭证、MFA多重身份验证)、非使用中数据的加密，及基于DoD 5220.22-M、NIST 800-88等严苛标准的储存设备汰换机制等等关键要素。

藉加密与金钥管理 确保数据安全

宋青云进一步阐述AWS安全工具。有关云端网络安全领域，较重要的项目包括Amazon VPC(隔离的云端环境)、AWS WAF(过滤恶意Web流量)、AWS Shield(受管的DDoS保护)，另搭配AWS Marketplace提供第三方操作系统层级防火墙，据此形成网络存取的多层防御结构；云端系统安全领域，涵盖跟踪使用者活动与API纪录的AWS CloudTrail，负责使用者存取与加密金钥管理的AWS IAM，追踪资源设定与变更的AWS Config，分析应用程序安全性的AWS Inspector ，用户另可利用AWS Trust Advisor ，针对AWS环境做安全或成本方面的评估。

最后关于云端数据安全，AWS提供跨Region的数据备份、服务器端数据加密、用户端数据加密、KMS金钥管理服务，并藉由AWS CloudHSM支持以硬件为基础的金钥储存。而博弘可就近指引用户正确启用前述所有功能，协助开发相关自动化辅助程序，以期将这些安全服务的效益发挥到极致。