企業之所以加速邁向雲端，絕大多數都是因為遠距上班的需求大量湧現，以及客戶需求的改變，迫使企業在營運上必須更加靈活。根據Forrester指出，94%的美國企業基礎架構決策者都至少採用了一種雲端部署環境。

儘管推動企業邁向雲端原生的力量一直都存在，然而現實的情況是，大部分企業還是會將他們最重要的資產或關鍵系統架設在私有雲或企業內部，然後利用公有雲來執行業務及提供客戶服務。

本文列出有效管理混合雲資安挑戰的三項關鍵要素，以及在挑選資安工具時該尋找哪些功能。

何謂混合雲？

所謂的混合雲，就是同時使用私有雲、公有雲以及企業內資料中心的一種混合式雲端運算環境。這與採用多家不同公有雲廠商及儲存服務的多重雲端環境不同。

圖一 : 「混合雲」為一種混合式的雲端運算環境（source：Alibaba）

混合雲資安成功的三大要素

雖然個別的公有雲或私有雲管理起來看似較為容易，但其實資安的需求是相同的。

為了簡化混合雲管理，我們整理出其中牽涉的三大面向：系統管理安全、實體與技術性安全，以及供應鏈安全。讓我們來仔細看看該如何在這每一個面向上有效管理資安風險，以確保混合雲的安全：

一、系統管理安全

這個面向涉及的是人員和流程，包括：風險評估程序、資料防護政策、災難復原計畫，以及員工訓練。包含兩大重點：

建立新的角色與責任

採用混合雲基礎架構之後，人員及負責的項目將會重新調整。例如在應用程式開發過程當中，資安變成了一種共同分擔的責任。當一切都在企業內部時，開發人員只需負責針對基礎架構撰寫程式，然後賦予資安團隊較大的權力來決定基礎架構該如何運作，並且建立資安準則。

但現在，開發人員不單是要撰寫程式碼，還要定義他們要部署的基礎架構程式碼（IaC），這使得更多的掌控權移轉到開發人員手中。此時就可導入DevOps或DevSecOps，讓資安融入DevOps整個生命週期當中：從規劃到程式撰寫，再到測試與部署，而不拖慢任何流程。

加強存取控管

根據Verizon的調查，82%的資料外洩都涉及人為因素。因此，採用一套零信任架構來加強使用者存取控管是一個不錯的策略。零信任（Zero Trust）採取的是「絕不信任、持續驗證」的原則，因此使用者和裝置只能存取他們已獲得授權的應用程式，而且要先通過認證之後才能存取；同時還要持續監控使用者和裝置的行為來決定是否要繼續允許存取，如果發現超出風險門檻的行為，就立刻終止其存取。

二、實體與技術性安全

在企業內或私有雲環境，仍有完全的責任須保護內部基礎架構。因此，最好採取一些網路防護措施，例如實體鎖定、監視攝影機、身分證件與生物特徵認證等等。

從更高的層次來看，要建置有效的技術性防護，其最根本的挑戰在於缺乏涵蓋所有雲端的可視性。企業通常會使用好幾種不同的雲端，根據 IBM預測，到 2023年，平均每家企業將會使用 10 種不同的雲端。因此，毫無章法地混用公有雲、私有雲以及企業內資產，會讓企業很難持續掌握完整的可視性，但這對於有效的威脅偵測及回應卻是必要條件。而且，如果企業採用零散不連貫的單一面向產品來保護不同的雲端環境，只會讓問題更加嚴重。

若採用單一面向產品，可視性將非常受限，關鍵系統將容易遭到攻擊，資安的風險也更高。不過別擔心，不需要因此就將資安整個砍掉重練。您只需一套具備第三方整合能力的雲端管理平台，與現有的資安密切配合，就能提供保護混合雲環境所需的完整可視性。

三、供應鏈安全

在DevOps軟體開發流程當中有許多第三方元件和工具，可以協助加快流程以滿足市場需求。只不過，採用這些工具有可能為網路犯罪集團製造一些新的攻擊途徑。根據Venafi近期的一項調查指出，有 82% 的受訪者覺得其機構有可能遭到針對軟體供應鏈的網路攻擊。

此外，CISA也在一份名為「 ICT SCRM Essentials 」（資通訊技術供應鏈風險管理之基礎） 的文件當中，提出建立有效供應鏈風險管理實務的六個關鍵步驟：

‧ 發掘：找出須參與的人員

‧ 管理：根據產業標準與最佳實務原則 （如 NIST發布的原則） 來制定供應鏈資安政策與程序

‧ 評估：了解所採購的硬體、軟體與服務

‧ 掌握：詳細列出完整供應鏈來掌握採購了哪些元件

‧ 檢驗：決定您的機構該如何評估供應商的資安文化

‧ 評量：設定時程與系統，根據指導原則來評量供應鏈的資安狀況

挑選混合雲資安解決方案

純雲端及雲端原生企業的議題近來相當熱門，但事實上，除了新創公司之外，大多數企業 （不論規模大小）都會永遠維持採用混合雲的模式。所以很重要的一點是確保挑選的廠商能提供一套資安平台，以同時支援雲端與企業內解決方案。

許多廠商都宣稱提供一套雲端平台，但通常只是把一些單一面向產品包裝在一起，然後以優惠價販售而已。真正的資安平台要能蒐集並交叉關聯所有雲端與企業內環境的資料，提供單一的監控、偵測及回應窗口。不僅如此，這套平台還要能隨著雲端與業務需求的變化而成長。

為了改善混合雲管理而評估一套資安平台時，請看看它是否具備以下功能：

雲端原生防護

是否提供以下自動化雲端防護功能來節省時間、提升效率、達成法規遵循要求：

‧ 組態設定錯誤檢查，檢查是否有開放的Amazon S3儲存貯體、資料庫與網路連接埠

‧ 雲端工作負載執行時期監控與防護

‧ 自動化偵測容器、虛擬機器（VM）及無伺服器（serverless）功能中的漏洞

‧ 掃描是否存在著CVE漏洞、機密、敏感資料與惡意程式

‧ 掃描基礎架構程式碼（IaC）

圖二 : 雲端原生應用保護平台範圍（source：Gartner）

安全存取服務邊緣 （SASE）

支援零信任策略的 SASE 結合了兩大不同領域的功能，涵蓋底層網路基礎架構以及基礎架構之上的網路資安應用層，其中包含三大核心要素：安全網站閘道（SWG）、雲端存取安全代理（CASB）及零信任網路存取（ZTNA）。

CASB解決方案能解決可視性與控管的問題，擔任使用者和雲端之間的橋樑，自動監控與評估風險，並透過API來套用資安政策。當與SWG整合時，可防範不安全的網際網路流量進入內部網路，提供更精細的防護。CASB可判斷流量是否為高風險或惡意流量，偵測使用者與應用程式之間的流量，萬一偵測到潛在風險，還可透過 SWG採取更深層的管控。

若能進一步與ZTNA整合，就能將現有SaaS資安控管從CASB延伸至私有應用程式。如此就能提供一套集中化的防護來同時保護私有雲及公有雲。

延伸式偵測及回應（XDR）

XDR是端點偵測及回應（EDR）的進一步延伸，能蒐集並交叉關聯端點、雲端、網路、電子郵件以及使用者的深度威脅活動資料。將所有資料彙整起來，只提供關鍵的警報，再加上以攻擊為主體的圖形化網路攻擊時間軸檢視。

如此一來，資安營運中心（SOC）就能深入了解使用者如何遭到感染、首次入侵點在哪裡、攻擊如何擴散，以及各種有助於遏止攻擊擴散的實用資訊。