用戶登入
懇請您立即點擊填寫「2017年科技發展觀測平台與電子報滿意度調查」。我們期待提高問卷回收率,請繼續給我們支持與鼓勵,感謝您!
焦點新聞
Gartner預測:雲端安全防護的未來發展
.2017/02/15
摘要 在市場中,雲端運算技術被大肆渲染,並遭到誤解。關於「雲端運算實際上能為組織帶來什麼效益?」的說法莫衷一是,在各種雲端模型的安全與管控議題上,出自真實與想像的多方觀點夾雜在一起。實際上,大多數資訊安全長(Chief Information Security Officer, CISO)與安全團隊對雲端運算的關注焦點不脫以下三項:
1. 虛擬環境的安全,包括:私有雲(Private Cloud)與基礎設備即服務(Infrastructure as a Service, IaaS)。
2. 軟體即服務(Software as a Service, SaaS)的使用,以及此種模型內的資料。
3. 多租戶(multitenant)環境內的風險與法規遵循責任。
上述三項雲端安全防護領域各有各的挑戰,每項領域都由不同的企業人員負責管理。隨著雲端模型持續演進,企業部門必須掌握一系列的新處理程序和新產品。對負責IT安全與風險的決策者來說,關注雲端控制領域內持續演進的實踐方法,有助於找出在相互關聯的三個領域中落實安全防護的途徑。
Gartner的研究報告針對2017年以後的雲端安全防護領域提出四項預測,茲將重點摘譯如下。

一、 至2020年,雲端安全防護、法規遵循,以及風險控管時間與資源三個領域內70%的業務將為SaaS供應商和作業管理帶來困擾。
隨著SaaS的使用日益頻繁,組織經常向供應商反映SaaS是個難以管控的模式,缺乏控制權的代價可能非常高昂,依照雲端存取安全中介服務(Cloud Access Security Brokers, CASB)供應商的說法,有大量的敏感資料不當儲存於SaaS中。對SaaS管理權責的歸屬缺乏共識、對SaaS的「所有權」缺乏明確的規範方針,這些因素掩蓋了SaaS管控的問題。然而根據報導,客戶已經使用了超過1千個SaaS應用程式,安全與IT團隊的壓力越來越大,為了管理這些資源,他們需要的權限高於系統提供的有限管控機制。

二、 至2020年,在資安事件方面,公共雲端IaaS負擔的工作量將比傳統的資料中心低至少60%。
如果能夠適當地運用公共雲端IaaS供應商所提供的可編程式(programmatic)基礎設備,那麼取得的安全防護等級將高於傳統的資料中心。錯誤的設定、管理失當、疏於更新與其他錯誤通常是造成網路攻擊得逞的主因,所以運用自動化的機制防止與降低人為失誤,便能提升服務程序的安全性。藉由更動防護與管理程序,企業的資料中心也能應用更高級的自動化機制,儘管如此,大多數企業的資料中心卻沒有這項更動所需的軟體定義(software-defined)、可編程式基礎設備。

三、 至2018年,在適當地運用雲端可視性(Visibility)與管控工具的企業中,60%的企業將能避免三分之一的安全問題。
IaaS雲端供應商提供兩種重要的功能,為雲端管理帶來必要的管控與可視性。身分存取管理(Identity and Access Management, IAM)功能協助企業設計一套驗證(Authentication)與授權(Authorization)的方案,讓使用者能順利完成工作,並確保使用者只能取得必要的權限。
監測與日誌記錄的功能則有助於追蹤與雲端資源相關人事時地(who, what, when, where) 的細節,適用範圍涵蓋:用於安全監控的重要資料、績效追蹤、預算編列,以及審計查帳。

四、 在2017年,對安全功能的不滿將驅使一半以上的IaaS新客戶在12個月內添購第三方的安全產品。
IaaS安全防護是一個變化快速的領域,雖然IaaS供應商提供了安全防護功能,但通常不夠全面,或不容易與第三方解決方案整合。隨著IaaS的採用量提升,從多家供應商採購IaaS的企業也逐漸增加,不過由於供應商的原廠安全解決方案之間無法交替使用,因此將第三方安全解決方案整合至原廠控制機制的功能逐漸興起。
資料來源 Gartner