【TechOrange 編輯部導讀】

企業上雲已是無法回頭的趨勢。然而，雲端安全的挑戰也不斷產生。

雲端安全是雲端服務提供商與企業之間的共同責任。在使用這些雲端服務時，企業自身該如何加強防護，與雲端服務提供商各自做好手中的防護工作？本文將詳細介紹 3 大雲端資安防禦利器。

企業上雲飛速增長，據 Gartner 預測，2023 年企業平均有高達 70% 的工作部署到雲端基礎設施之上，相比於 2020 年的 40% 又明顯成長許多。根據統計，企業平均使用 1,427 項雲端服務，員工則平均使用多達 36 項雲端服務。

不過，往雲端移轉、往數位化邁進，就無後顧之憂了嗎？企業必須有所意識，答案可能是相反，假設雲端的安全治理被輕視，可能等同將自身暴露在前所未有的安全性風險之中。

企業上雲趨勢已不可逆！公有雲安全服務支出 CAGR 將達 20.3%

微軟指出，企業往雲端移轉的常見好處包含降低 IT 運作成本、提升效能，增加彈性與可擴充性，有助備份、復原與容錯移轉，集中式管理方法也能簡化管理與監視的作業流程。由於某些雲端服務會自動完成安全性修補，對於維護安全性也有一定程度的幫助。

Gartner 預測，全球公有雲服務將從 2023 年的 6049 億美元增長到 2026 年的 1 兆美元，年複合增長率（CAGR）達 18.2%。公有雲服務中增長最快的部分，包括資料庫管理、商業智慧（BI）、安全性，以及基礎架構即服務（IaaS）。

而針對公有雲安全性的服務支出成長幅度更快，預計將從 2022 年的 194 億美元一路成長到 2026 年的 489 億美元，CAGR 達到 20.3%。

上雲仍需掃視後顧之憂！99% 雲端安全故障問題是「使用者」引起的

上雲的確為企業帶來了諸多方便，卻仍避不了新的資安隱憂竄升，例如安全性違規風險、雲端平台意外配置錯誤，以及超​​大規模（hyperscalers）雲端平台的身份存取管理（IAM）和特殊存取管理（PAM）等問題。

一些主要的導火線原因，包括 IT 和 OT 系統之間的保護差距越來越大， IoT 聯網和端點數量快速增長，以及供應鏈接觸點遭受的攻擊上升。

Gartner 甚至指出，至少 99% 的雲端安全故障問題，都可歸屬於客戶端 / 用戶端的操作錯誤，這也突顯了企業應持續投資並強化 IT、資安團隊最新雲端安全技術能力的必要性和迫切性。

雲端安全領域新角色 CIEM 可減少權限存取風險、降低人為疏失

美國電腦安全技術大廠 CrowdStrike 執行長 George Kurtz 點出，企業提升安全性有望成為業務的驅動因素，「安全性可以增加業務彈性，並且有助於保護數位轉型帶來的生產效益。」

雲端基礎架構權限管理（Cloud infrastructure entitlements management，CIEM）算是雲端安全性領域中一種較新的解決方案，CIEM 主要是透過時間控制來管理雲端權限存取風險，以優化混合雲和多雲 IaaS 中的授權存取管控。

簡單來說，CIEM 工具的主要用途之一，是能降低因人為無意、未經檢查向雲端資源授予過多權限而帶來的風險，更能扣合現在雲端環境資源的大規模、短暫性的特徵。

這也反映出目前仍有不少企業在存取權限上採用過於粗糙、手動的方式，因此一些不熟悉流程的新人員可能反覆請求更多權限，而企業則給予該人員過多的權限以執行各種操作，甚至是和該人員的任務或職責無關的操作，此類問題都可能擴大安全漏洞風險。

針對上述安全性問題，CIEM 的解決方法即是採用最小權限原則，授予人員（或單位）執行任務時所需的最少權限來因應，再者，市面上已有不少 CIEM 解決方案納入機器學習技術來分析存取紀錄和配置狀態，以減少任何潛在的漏洞風險。

CNAPP 平台強化應用程式安全，貼合 DevOps、DevSecOps 潮流

隨著 DevSecOps 成為趨勢，企業正在找尋能確保雲原生應用程式安全、保護關鍵業務工作負載，同時又能和簡化操作的方法。

雲原生應用程式保護平台（Cloud-native application protection platform，CNAPP）是一體化的雲原生軟體平台，可簡化對於潛在雲端安全威脅的監控、檢測和處理程式。

CNAPP 的概念最初是由 Gartner 所定義，是為強調企業不僅該關注雲原生安全解決方案，這些解決方案也該為應用程式安全提供完整的生命週期方法，而非單純把工具拼湊起來而已。

CNAPP 在實作上，便是將多種工具和功能組合到一個軟體解決方案之中，以降低複雜性為前提，促進 DevOps 和 DevSecOps 團隊運作效率。常見的 CNAPP 模型所集結的功能，包含了雲端安全態勢管理（CSPM）、雲端服務網路安全 （CSNS）和雲端工作負載保護平台（CWPP）等。

CNAPP 從開發到生產的整個 CI/CD 應用程式生命週期中，能強化端到端安全性，也有助減少人為錯誤並提高可靠性，為私有雲、公有雲、混合雲和多雲環境提供整體可見的安全性。

XDR 識破竄逃的惡意威脅，交叉關聯分析出 360 度潛在風險樣貌

延伸偵測與回應（Extended detection and response，XDR）則是一種基於雲端的威脅檢測調查和響應平台，VMware 指出，XDR 整合了多項工具和資料，可跨越多個端點、工作負載、使用者和網路，以提供全方位延伸的能見度、分析和回應。

趨勢科技資料顯示，某些聰明的惡意威脅能逃過偵測，躲藏在各自為政而缺乏關聯的系統、暗中不斷積累，而企業僅能透過片段線索拼湊攻擊的樣貌。

XDR 便是打破資安產品之間的藩籬，能蒐集並透過交叉關聯涵蓋多個防護層的偵測事件與深入的活動資料，包括：電子郵件、端點、伺服器、雲端工作負載以及網路。

由於 XDR 能掌握網路和雲端的重要資訊，透過自動化分析，有利於統整端點和工作負載安全功能，進而運用這些領域的可靠關聯性資訊，減少盲點、加速偵測威脅並快速修正。

像是微軟 365 Defender、CrowdStrike Falcon、Cortex XDR 等 XDR 平台，就是使用各種來源的數據，為企業遙測捕獲的所有警報、事件和潛在風險，涵蓋網路偵測、橫向移動、異常連線、信標、滲透和惡意成品的交付，然後整理成 360 度視圖。目前許多 XDR 平台也開始依賴 AI、機器學習來處理數據、檢測異常，並匯出洞察報告。

企業為維持業務穩定增長，應首重雲端安全治理、及早投資部署

企業把工作轉移到雲端的趨勢已不可逆，為此，企業也必須意識到機密數據洩露、丟失等安全性風險和攻擊面就越大，為了應對這些挑戰，保護雲端基礎設施和端點的新方法，以及傳統的數據中心安全策略必不可少。

運用創新的網路安全技術減少攻擊面，更是企業維持業務、收入穩定增長的未來核心重點之一。 透過審視上雲的相關風險，投資創新安全性產品、資產管理和自動化解決方案，企業可以未雨綢繆強化雲端資安防禦的城池，在保持營運的合規性和能見度之際，同時享受上雲帶來的便利與與效益。

本圖/文由「Techorange科技報橘」授權刊登，非經同意不得任意轉載。
原文出處：雲端安全有一半責任在企業自己身上！帶你掌握 3 大雲端資安防禦新利器