合規帶動Web3雲上資安,完整雲端架構成關鍵
Google Cloud 、 CouldMile 、 Elastic 和 ACE 交易所,身為各領域的翹楚,於 5 月 25 日共同舉辦「鏈三上雲:資安解析峰會」,分享上雲的經驗以及完善的雲端解決方案,讓上雲不再只是口號,可以落地執行,大幅提升公司的效率與競爭力。
根據 Gartner 統計, 2025 年雲端的 IT 支出將正式超越地端,等同宣告雲端時代正式來臨。隨著上雲普及化,雲上最重要的事——「資訊安全」成為企業關注的重點。
資訊安全的重要性,可以「短板理論」解釋。當用木板拼成的桶子裝水時,只要任何一片木板過短,水就一定會從那一面流出。 CloudMile 解決方案架構團隊主管梁文典以此為寓,同理在資安的世界裡,只需要一個小漏洞,就可能造成巨大的損失,尤其是金融業與 Web3 產業。
廣告 - 內文未完請往下捲動
使用 Google Cloud,即享用 Google 服務的資安高標
上雲第一件事,就是在各種雲端服務提供者中選出最適合的解決方案。 Google Cloud Platform(以下簡稱 GCP )身為全球雲端服務的領導者,也以「資安」為雲端服務的首要重點。 Google Cloud 客戶解決方案架構師 Neo Chen 表示:「 Google 身為世界領先的網路服務提供者,打造全世界最先進的安全防護機制,以確保使用者的上網安全與隱私;而企業使用 GCP 時,也能享有與 Google 相同的安全基礎架構來確保企業的雲端資安。」
GCP 結合了 Google 的資安解決方案,搭配 NIST CSF 架構,針對辨識( Identify )、保護( Protect )、偵測( Detect )、回應( Respond )、復原( Recover ) 五大防護類別,分別配置對應的解決方案。 Neo 強調,全面性的資產盤點是最重要的第一步,此外善用 Cloud Armor 阻擋攻擊、 Security Command Center ( SCC )做 24/7 的監控,並搭配 VirusTotal 的情資,一旦遭受攻擊,也可使用 Mandiant 的資安事故調查及應變機制,快速反映、修復,並避免同樣情境再次發生。
完善上雲三面向:系統、數據、雲端備份,對抗資安「短板理論」
企業上雲,主要可分為三部分:系統、數據和備份資料。CloudMile 解決方案架構團隊主管梁文典表示,論及系統和數據上雲,雲端資安架構相當重要。 CloudMile 根據 NIST CSF 架構,依不同的情境協助客戶進行資安成熟度評估,再遵照評估後的結果對症下藥。在 Google 的 Security Command Center ( SCC )協助之下, CloudMile 可進一步解釋資安風險、提供可能解決方案與補償性控制措施,全面把關雲端資訊安全。
近年來, Log4j 核彈級漏洞、戰爭的威脅、勒索軟體當道,再加上合規的需求,備份救援也變成企業的基本配置。 CloudMile 建議依循「黃金備份 3-2-1 原則」:所有資料加上原始檔案至少要有 3 份資料,放置於 2 種不同的媒介上,且至少建立 1 份異地離線備份,在這樣的配置下,才能最大化雲端優勢,並達到完整的雲端防護。
除此之外,雲端架構也可解決 Web3 產品在上鏈時,可能遇到動態需求和提供快速服務的挑戰。面對這些挑戰,將應用系統容器化,提高開關速度,使用者即可透過 Google Kubernetes Engine( GKE )中的 GKE Standard 或 Autopilot ,分別滿足掛載 GPU 運算或降低維運負擔的需求。
「 Shift Left 」當道,雲端協作鞏固資安成趨勢
然而,資安的建置並非只是公司資安團隊的責任。 Elastic 區域總監 Fernand Cheng 強調,在左移( Shift Left )觀念盛行的今日,資安更應該在產品開發初期,就成為公司內每個部門考量的首要要素,因此選擇一個可以彈性協作的雲端資安平台,也成為公司把關資安的重要任務。
他同時以資安廠商 Check Point 的數據:「台灣今年首季每週遭受 3250 次的網路攻擊,居全球之冠」為警示,台灣廠商在面對大量威脅,且攻擊手法愈發新穎的時空背景下,知道誰曾經來過你門前,並試圖攻擊所留下的「足跡」,就成為重要的「證據」。 Elastic 善用其本業「收納」和「搜尋」的技術,收集企業的記錄檔案(Log),透過機器學習,進一步辨識資安風險,可降低誤判以及遺漏的機率。
在資安界,除了防禦,另一件大事就是合規。 Fernand 分析, Elastic 收集的大量資料與容易搜尋的特性,讓合規更加容易。透過 Elastic 的儀表板,使用者可以在大量資料中,快速的抽絲撥繭,以符合合規需求,也可注入其他資料來源進行驗證,達到合規目的。
Web3 資安合規,GCP 成最佳助攻員
資安就是現代的戰爭,在 Web3 的世界更是如此。台灣 Web3 交易所 ACE Exchange 資安協理徐方繹認為,有鑒於 Web3 產業對雲端環境的依賴,更應強調資安合規的重要性。 ACE 以 ISO27001 為標竿,並利用 GCP 有效協助合規。徐方繹分享,在這場現代的戰爭中, Google 的 VirusTotal 和 Mandiant 提供有效的情資,讓 ACE 能進一步透過 Chronical 的 SIEM ,用速度和情資,獲得完美的資安屏障。
徐方繹強調, ACE 就算晚別人一步上新功能,也要確保所有開發符合資安標準,「我們系統開發一定有一個安全評估的流程,不斷確保半年前寫的程式,盡可能半年後也沒有問題。」身在瞬息萬變的 Web3 產業, ACE 透過 Google 的 SCC 獲取情報,並以快速反應為目標。 SCC 會定期更新,並在短時間內對營運和測試環境進行掃描,提供最新的情報。一旦獲取情報, ACE 立即做出反應並進行修補,以保護用戶的資產和數據。
Web3 產業的資安防禦策略:情境演練和備份措施
合規之外, Web3 的資安防禦向來也是熱門話題,徐方繹認為鏈上之外的 Web3 產品開發,需要專注於軟體開發和應用的安全性,這包括應用程式的開發、網站的安全性、數據的加密和保護等。此外, Web3 產業也應該關注情境演練和備份措施,定期進行災難恢復演練,並妥善管理包括冷備援、暖備援配置和異地備份等,以確保在發生災難或緊急情況時能夠快速且有效地恢復業務運營。
雲端必定是全球企業的未來,面對 Web3 時代來臨,網路結構正站在轉捩點之上。在這樣的環境下,企業搶先架構雲端系統,不但能因應戰爭時事的威脅、 AI 時代數據的需求、使用者對速度和品質的要求,還可以搶先部署資安協作架構。提升企業的競爭力到最前線,才足以應付大時代下的這場資安硬戰。
