博弘助企业善用工具 建立多层云端防御架构 智能应用 影音
Microchip
ADI

博弘助企业善用工具 建立多层云端防御架构

  • DIGITIMES企划

Nextlink博弘云端科技解决方案处处长宋青云。
Nextlink博弘云端科技解决方案处处长宋青云。

毋庸置疑,云端安全是现今重大课题,欲实现此目标,有赖于共同责任模型之运作,一方面由服务供应商致力维护云端基础安全,二方面由用户本身负责云端内部安全。因此一个完整的云端防护架构,从外到内理应蕴含多个层次,包含实体安全、网络安全、系统安全及数据安全。

Nextlink博弘云端科技解决方案处处长宋青云指出,以其代理销售的亚马逊云端服务(Amazon Web Services;AWS)而论,已针对多层次防护需求展开绵密布局。

首先,亚马逊凭藉多年营运大型数据中心的历练,藉由无特徵的设施、强大的边界管理、严格的进出管控、多层的身份验证,扞卫「实体安全」;其次AWS针对DDoS、中间人攻击、IP欺骗、未经授权的端口扫描、封包监听等防御需求都提供对应工具,协助用户强化「网络安全」。

在「系统安全」部份,AWS藉由可靠的系统映像(AMI)、安全性组态管理、修补程序管理等相关服务,确保操作系统与应用程序安全,另藉由EC2 Roles for IAM、AWS IAM Credential管理等机制,严加管控AWS API存取。

至于「数据安全」,则蕴含逻辑存取控制、使用者授权(含强力的口令规定、金钥、凭证、MFA多重身份验证)、非使用中数据的加密,及基于DoD 5220.22-M、NIST 800-88等严苛标准的储存设备汰换机制等等关键要素。

藉加密与金钥管理 确保数据安全

宋青云进一步阐述AWS安全工具。有关云端网络安全领域,较重要的项目包括Amazon VPC(隔离的云端环境)、AWS WAF(过滤恶意Web流量)、AWS Shield(受管的DDoS保护),另搭配AWS Marketplace提供第三方操作系统层级防火墙,据此形成网络存取的多层防御结构;云端系统安全领域,涵盖跟踪使用者活动与API纪录的AWS CloudTrail,负责使用者存取与加密金钥管理的AWS IAM,追踪资源设定与变更的AWS Config,分析应用程序安全性的AWS Inspector ,用户另可利用AWS Trust Advisor ,针对AWS环境做安全或成本方面的评估。

最后关于云端数据安全,AWS提供跨Region的数据备份、服务器端数据加密、用户端数据加密、KMS金钥管理服务,并藉由AWS CloudHSM支持以硬件为基础的金钥储存。而博弘可就近指引用户正确启用前述所有功能,协助开发相关自动化辅助程序,以期将这些安全服务的效益发挥到极致。