如何保護公有雲端與私有雲端資料？帶你看混合雲端安全性的原則及三大優勢

混合雲端安全性 指的是策略、技術和作業實務，這些策略、技術和作業實務是為了保護跨公有雲端和私有雲端環境的資料、應用程式和基礎架構而設計。

此方法可透過整合身分與存取管理 (IAM)、加密、網路分割及持續監控，確保不論資產位於何處，都能一致地應用安全控制。

架構完善的混合雲端安全框架可協助組織在動態、多平台環境中管理風險，適應威脅，同時支援法規遵循與作業彈性。

在現實世界的混合部署中，組織會將一個基礎架構用於主要系統和資料，而另一個則用於備份。如果發生故障，組織可以在兩者之間切換。

然而，混合環境通常會帶來安全盲點。這些盲點可能包括未驗證的 API、缺乏安全設定的未授權部署，以及錯誤設定。

雖然沒有一個環境是完全安全的，但風險可以大幅降低。使用經過驗證的最佳措施，可協助組織強化防禦並限制風險。

在混合雲環境中，攻擊面較大，單一錯誤設定或薄弱的存取政策就可能導致攻擊。  

即使是美國軍隊情報與安全部門，也曾經因配置錯誤而造成資料外洩。 

此外還有法規遵循的壓力，因為資料儲存或共用的地點不同，適用的法規也不同。 

最後，混合設定的分割性使得災難復原和故障移轉規劃變得複雜，因此業務連續性更難管理。

這些環境中的威脅來自技術缺口與人為疏失的混合。 

在 COVID-19 之後，快速轉向遠端工作與雲端基礎架構，只不過是強化了這些風險，因為許多組織在轉型時，並未完全建立安全框架。 

為了適當地緩和這些挑戰，我們必須先瞭解這些問題。

配置錯誤仍是雲端最常見的問題之一，表現為存取控制設定不當、儲存外露或元件過時。 

另一個嚴重的問題是入侵後的橫向移動；攻擊者滲透您的基礎架構後，可能會跨系統移動，搜尋敏感資產。 

橫跨多個平台的混合模式使這類活動更難被偵測和阻擋。 

最後，內部威脅也是一個真正的風險，尤其是在權限管理不嚴格的情況下。 

在混合環境中，資料會不斷在內部系統和雲端平台之間移動，因此惡意軟體、贖金軟體和資料外洩等Cloud威脅會更加嚴重。 

這個動作擴大了攻擊面，讓敵人有更多機會溜走而不被發現。 

贖金軟體集團現在使用 AI 驅動的工具來繞過標準的防禦系統，而資料外洩的危害性也越來越大。 

武器化的檔案上傳也已成為混合雲端設定中日益嚴重的威脅。  

惡意行為者通常會在看似無害的檔案中嵌入惡意軟體，以繞過安全過濾器，在未被察覺的情況下傳送有效載荷。  

技術如 Deep CDR(Content Disarm and Reconstruction，內容解除與重組) 技術可在惡意程式碼造成任何損害之前，將其從檔案中剔除，從而解除這些威脅。 

混合設定也會模糊責任的界限，導致存取控制或修補程式的弱點。 

混合設定內的平台可能受到不同法律的規範，例如資料應儲存於何處以及應如何處理。

COVID-19 大流行加速了混合雲採用的成長，使安全性變得比以往更為重要。

組織迅速轉向遠端工作和雲端基礎架構，但許多組織並未針對這種分散式、多平台的環境建立適當的安全框架。雲端應用的增加為攻擊者創造了更多切入點，並使法規遵循管理變得複雜。

在如此多樣化的系統中，要讓您的流程符合 GDPR 等法規要求，實在令人吃不消，因為 GDPR 規定某些資料必須位於歐盟境內。

考慮到所有風險，混合雲端安全性仍具有強大的混合優勢，尤其是與單一雲端或內部部署系統相比。

混合雲端安全性的一些基本關鍵原則包括零信任安全性 (Zero Trust Security)，可確保預設不信任任何實體，以及供應鏈安全性考量。

後者著重於保護依賴性和第三方軟體。

為了組織安全實作，許多團隊應用Cloud Security Alliance 的(CCM)Cloud Controls Matrix。  

CCM 將雲端特定的控制領域 (例如身分管理、基礎架構安全性和法規遵循) 細分，並將其與 ISO 和 NIST 等全球標準相結合。  

它也有助於定義 IaaS、PaaS 和 SaaS 服務模型之間的角色和責任，這在混合設定中特別有用。 

CSPM 工具可找出並修正錯誤配置，從而解決人為錯誤的風險 -安全問題的主要成因。

混合雲既是強大的推動力，也是獨特的風險環境。 

在此背景下，混合雲端安全架構需要獨特、多面向的方法，並包含幾個關鍵元素。

IAM 代表一種存取控制架構，可確保只有正確的個人在正確的時間以正確的理由存取正確的資源。 

IAM 是混合環境的核心，在混合環境中，身分跨越內部部署和多種雲端服務。  

在 IAM 架構中，有兩種方法非常有效：

• (RBAC) 基於角色的存取控制
• (PAM) 特權存取管理

RBAC 根據使用者在組織中的角色分配權限，限制他們可以存取或執行哪些資料和動作。角色通常基於工作職能（例如，開發人員、分析師、人力資源），每個角色都有一套預先定義的存取權限。

此方法強制執行最少權限原則，確保使用者只能存取他們需要的內容。此外，它還可以透過邏輯化的存取結構，協助管理與合規性。

RBAC 僅依據工作職能指派權限，PAM 則與之相反，用於保護和管理特權帳戶的存取權限，即具有管理權限或存取關鍵系統的帳戶。

在混合設定中，PAM 對於保護基礎結構管理層 (例如網域控制器、雲端管理入口網站) 及控制對雲端管理主控台 (例如 AWS root、Azure global admin) 的存取非常重要。

SOC 是一個集中的單位，負責監控、偵測、回應及減輕安全威脅。 

本單位使用人員、流程和技術，協調威脅偵測和回應，並進行全天候監控。

CASB 是雲端服務消費者 (組織) 與提供者之間的安全政策執行點。

在 CASB 內，組織即使不執行基礎架構，也要對上傳的內容以及與雲端互動的方式負責。

CASB 有助於偵測和管理影子 IT、資料移動和使用者行為，讓 IT 瞭解所使用的未授權工具。

對於混合基礎架構，CASB 允許統一治理。如此一來，當資料移動到雲端時，內部安全性與合規性就不會受到影響。

在混合設定中，安全架構師需要一套可在雲端和內部部署系統中無縫實施的工具、實務和政策。

CSPM 是自動評估和管理雲端組態的工具。其目的是偵測整個雲端環境中的錯誤配置、違規情況和風險設定。 

它們對混合雲特別有用，因為這些設定是動態和複雜的，會在公共雲和內部部署環境之間頻繁變更。

與其說是一種工具，不如說是一種流程，指的是持續收集和分析日誌、度量指標和安全事件，以偵測威脅。 

為了讓它發揮作用，監控需要配合明確的程序來調查和回應事件。 

在混合環境中，此流程可針對分散的裝置或軟體 (例如雲端原生應用程式、SaaS、內置防火牆、伺服器和端點) 提供統一的威脅檢視。

最後，我們使用工具和腳本來自動執行安全政策。這些政策可以是停用不符合規定的資源、強制執行加密或封鎖未核准的服務。 

自動執行功能可確保安全規則與工作負荷一同執行，無論工作負荷是否落地。

除了所有工具和政策之外，混合雲端安全框架也建構在操作策略上，例如

要保護混合雲基礎架構，挑戰不在於所使用的技術，而在於所有環境的協調性和一致性。

就其本質而言，混合雲基礎架構受到多種工具、政策和控制的管理。

這迫使安全團隊使用多種平台，增加錯誤配置的風險。

此外，如果一個系統發生變化，它不會自動與其他系統同步。這會導致更多疏忽的風險。

混合設定的多樣性也導致無法一致洞察誰在存取什麼、資料存放在哪裡，以及資源在所有環境中是如何配置的。

分散的資料可能隱藏重要風險。

要解決這些挑戰，就必須制定策略，從策略上管理複雜性、減少攻擊面，並確保在內部部署和雲端環境中實施一致的控制。

我們的想法是在所有環境中建立一套共用的規則，從而避免被每個設定的複雜性所糾纏。 

組織可以部署一個身分系統，以管理誰可以登入以及他們可以存取的內容。  

Azure AD 或 Okta 等工具支援單一登入和多因素驗證。 

另一個想法是針對可重複的需求建立政策範本，例如密碼規則、網路規則和加密要求。 

最後，所有安全政策都需要符合 GDPR、HIPAA 或ISO 27001等外部標準，以隨時準備接受稽核。

如果每個團隊在不同的工具中查看不同的資料，攻擊可能會被忽略。

為了避免盲點，組織應該使用 SIEM 或 SOAR 工具將日誌和警示收集到一個地方，同時使用跨系統的端點工具。

如果團隊有單一儀表板，顯示所有系統的重要警示，也會有幫助。這有助於安全專業人員更快速地回應並找出模式。