隨著數位轉型的加速,企業上雲已成為不可逆的趨勢。雲端技術已成為數位轉型的主要引擎,推動企業將工作負載轉向雲端,多數機構選擇混合雲或多雲策略以確保業務的擴展和連續運作。
這幾年,無論是公單位或是私人企業對於資訊IT系統建置與維運的思維方式,已經逐一的從地端的思考模式轉移到雲上進行日常的營運,這除了反映出企業對於雲端技術信任度提高之外,對於企業上雲營運的意願度也相對提高。
企業營運模式的轉變,雲上的威脅也不曾減少,因此隨著企業日益依賴雲端技術的趨勢,雲上的資訊安全也同為重要,且雲端環境相較於傳統IT環境,在資安方面存在更大的挑戰,企業該如何從雲端建置的思維,制定全面的安全策略,確保其數據和業務在雲端環境中得到最佳的保護呢?
掌握「三三原則」,制定全方位資安策略
華碩集團資安長金慶柏表示,企業在進行上雲規畫時,應制定全方位的資安策略,以確保企業資訊安全。金慶柏建議以下三個制定資安策略的基本原則:
- 建立完善的資安治理架構:
制定明確的資安政策與程序,並建立資安管理組織與團隊。 - 評估雲端服務的資安風險:
了解雲端服務的安全功能與限制,並採取適當的補強措施。 - 落實雲端安全防護措施:
身份認證與授權管理、資料加密、入侵偵測與防禦、異常行為監控等。
金慶柏進一步指出,制定資安策略的三個必需思考的因素:
- 企業的產業特性:
金融業、醫療業等產業的資安風險較高,需要制定更嚴謹的資安策略。 - 企業的業務需求:
企業上雲的目的、上雲的範圍等,都會影響資安策略的制定。 - 企業的資安能力:
企業應評估自身的資安能力,並採取適當的補強措施。
金慶柏建議,企業在進行雲端安全防護時,很難單打獨鬥,更可以進一步透過資安顧問及雲端服務業者團隊的專業協助,獲得更全面的資安觀點與解決方案。接續勤業眾信、Google Cloud與行政院資訊處也相繼分享與建議。