雲端科技的應用遍布世界各地以至外太空。AWS目前為全球30個地理區域的客戶提供服務,並透過柯伊伯計畫(Project Kuiper),將一組衛星送入軌道,為全球服務尚未覆蓋以及服務受限的社區提供快速且價格合理的寬頻服務。雲端的廣泛使用代表數據正以指數級速度大量儲存在雲端當中。2020年,人們每秒鐘產生1.7 MB的資料。根據預測指出,到2025年將產生463 EB的資料。同時,企業對雲端運算和數據的依賴日益增加,因此企業需要更多相關技術人才來加速上雲之旅。隨著企業加速推動創新,資訊科技和數據安全對於業務的穩定成長和雲端運算的發展至關重要。
推陳出新的技術與人類的發展緊緊相扣,而我們也在兩者的交集中,看到了發展雲端安全的可能,並相信「自動化」將成為優化繁重工作的關鍵,使客戶聚焦在雲端安全的規劃,並快速應對潛在安全事件。
「安全」是AWS的首要任務。新年伊始,以下為AWS資訊安全總監CJ Moses對於2023年及未來資訊安全發展方向的預測。
預測一:安全將成為企業每項工作中的重要一環
不斷增加的資訊安全風險驅使用戶遷移上雲,因為安全是雲端的核心,雲端的每一個設計環節皆考量到安全。隨著自動化安全服務和工具的增加,企業將關注持續的安全性和合規性,以在數碼轉型之初就創建更容易實現安全的環境。
不少企業客戶透過雲端擴展業務,例如從地端的安全技術轉向以雲端運算為主共同的責任模型(由AWS負責雲端本身安全,客戶負責雲端內部安全的共擔模型),利用雲端技術將安全的工作流程自動化,才能跟上業務成長的速度,並使業務環境更加安全。在過去,雲端創新在數據中心的應用上並不常見,但如今雲端運算提供的創新數據防護幫助企業建構安全文化,並將安全融入到營運當中,使企業輕鬆兼顧業務成長與安全。
「安全」始於維持和執行一個有效的安全計畫,包括管理身份許可權、保護網絡和基礎設施、識別和應對威脅、資料保護及合規證明。雲端運算將這些任務自動化,例如:日誌記錄、監控、審計、修補以及整合現有工具集等。透過安全管理存取控制服務AWS Identity and Access Management(IAM)、安全標準化紀錄服務AWS CloudTrail、加密和數碼簽署數據金鑰AWS Key Management Service(AWS KMS)、應用程式防火牆AWS WAF,及雲端安全狀態管理AWS Security Hub等基礎工具,可以了解數據的儲存位置、存取者、存取時間、加密狀態、移動位置、可疑操作,以及是否容易受到常見的漏洞攻擊。雲端技術在未來幾年將持續發展,並進一步帶動自動化需求呈指數級成長。
另一方面,企業將更聚焦在持續的安全與合規。AWS從客戶、合作夥伴和內部從事維護安全服務的開發人員之中了解到,雲端服務的快速創新使整合安全變得更加容易,並更進一步落實安全。雲端安全服務和工具的易用性,使客戶能提高開發速度和安全標準,從而安全地交付成果。例如使用自動化軟件漏洞管理Amazon Inspector和集中式營運中心AWS Systems Manager可以幫助客戶自動為基礎架構的服務和應用程式修補漏洞,並簡化為多作業系統修補漏洞的過程,大幅提升工作效率。
預測二:多元化將有助於解決安全人才缺口
隨著雲端服務規模擴大,企業對於安全專業人員的需求也隨之成長,「多元化」正是解決此問題的關鍵。AWS相信優先聘用具有不同教育和職業背景、擁有多樣性思維,以及來自不同文化背景的人才有助企業在安全性方面取得突破。
截至2021年,全球約有419萬名資安從業人員,但目前仍缺乏272萬的相關人才。填補安全人力缺口是改善各地資訊安全狀況的關鍵。企業可以優先考慮具有多元背景的應徵者以縮窄安全專業人才的缺口,例如透過提倡多元、平等和共融(Diversity, Equity, and Inclusion,DE&I),並成立類似Amazon Affinity Group以重新評估企業的招聘標準。值得留意的是,近半數安全專業人員的相關技能與經驗是在IT行業以外培養的。若企業根據工作態度和能力招聘員工並進一步培訓其技能,企業將更容易取得成功。此外,為取得大學教育和安全認證所付出的高昂費用,是不同背景的人難以進入IT產業的門檻之一,因此企業不應只局限於特定的技術學位和認證,而是嘗試招聘不同領域的人才。
擁有多元背景的安全人員將為這個行業注入更獨到的安全思維,這將帶來更強大的防禦性。例如英國有些機構正積極雇用具有多樣性思維且善於觀察數據規律的員工。對AWS而言,多元性不僅代表平等,也意味著企業能擴大內部解決問題的能力,以優化防禦能力水平。
多元化招募是AWS企業文化的關鍵。AWS樂於招聘沒有安全工作背景的人才主要是因為相信提供安全培訓幫助員工成長並留住人才非常重要。AWS深信教育是幫助個人和企業改善安全狀況的關鍵,為此我們免費為員工提供亞馬遜安全意識培訓(Amazon Security Awareness training)與導師計畫來鼓勵員工成長,並與年輕世代建立連結,推廣STEM教育。AWS認為雲端安全營運自動化也許能協助彌補人才缺口,但無法解決根本問題,「以人為本」還是提升企業安全性的首要任務。
預測三:人工智能與機器學習支援的自動化帶來更強的安全性
人工智能(Artificial Intelligence,AI)與機器學習(Machine Learning,ML)有助優化開發人員的工作流程、協助創建更可靠的程式碼、持續改善安全性,為雲端安全自動化的關鍵。
以往「安全」是一個二元性且有規則可循的系統,如今雲端運算能建構強大防禦,並採用有效的互補策略來應對已知威脅改變此模式。在雲端安全下一階段的演變中,人工智能應用於威脅檢測和修復將更加普遍,且機器學習也將支援資訊安全工程師,幫助他們在雲端中建立更安全的架構和應用。
此外,人工智能與機器學習的預測能力可以提供客戶在面對不斷變化的威脅環境時建立更主動的安全情勢。近年隨著在家辦公和混合辦公模式興起,人們在不同網絡上的工作型態改變,更多的網絡威脅也因應而生,例如黑客會利用勒索軟件、網絡釣魚和社交網絡攻擊等方式勒索企業資產。
在日益複雜的混合環境中,AWS的服務如智能威脅監測Amazon GuardDuty、安全調查服務Amazon Detective、程式碼檢查服務Amazon CodeGuru和資訊安全服務Amazon Macie等,將為安全與機器學習整合奠定基礎,並透過智能推薦為客戶提供規模化支援。這些具有機器學習能力的雲端服務可以快速反覆運算以獲取大量數據,查明異常情況並就安全性漏洞、代碼品質和潛在威脅提供智能建議,為企業帶來許多益處。例如Amazon GuardDuty推出的DNS聲譽建模,將來自AWS的DNS請求輸入到模型中,並根據行為特徵將全新的功能變數名稱預歸類為惡意或良性的。AWS發現DNS聲譽建模在商業威脅反饋前的7至14天,就能識別惡意網域,提供精準度極高的威脅檢測。
人工智能和機器學習在安全領域的另一個應用是合規。由AWS所建構的人工智能技術如自動推理,使客戶能輕鬆瞭解複雜系統內的合規狀況,並自動檢測在全球資料集中的異常情況。在過往,許多安全和合規的任務需要人工互相評估與更改權限,再加上被動式管理的模式,使許多工作困難重重。AWS服務如雲端稽核自動化AWS Audit Manager、安全管理存取控制服務AWS Identity and Access Management(IAM)Access Analyzer等工具能自動消除人工干預,使客戶在變動IT基礎設施前就能輕鬆瞭解其合規狀況與許可權資訊。AWS Audit Manager為客戶所需的合規性框架(如支付卡產業資料安全標準、IoT安全中心和美國國家標準與技術研究所NIST)自動蒐集資料,無需依賴即時人工評估。此外,不間斷的數據蒐集過程使客戶能隨時調用所需的框架合規性報告。IAM Access Analyzer使客戶可以監控自家的安全策略,防止數據被過度廣泛地存取。一旦策略被寫入,IAM Access Analyzer就會在不需要人工干預的情況下監控授權。未來幾年安全的觀念將不斷進步,雲端供應商、合作夥伴網絡和雲端使用者生態將進一步發展自動化能力,推動全球雲端安全的演進。
人工智能和機器學習驅動的安全創新幫助解決資訊安全業界面臨的挑戰,例如安全營運中心(Security Operation Center,SOC)分析師的工作量,讓安全架構師有更多時間進行威脅建模,而不必驗證應用程式是否關閉防火牆,或是伺服器是否已修補漏洞。目前我們只觸及到雲端安全領域AI/ML的皮毛。隨著雲端運算呈現指數級成長,安全需求也將隨之快速增長,並進一步驅動自動化和智能主導的安全需求。
預測四:加大對數據保護的投資
隨著海量的數據呈指數級成長,數據保護仍然是AWS客戶和全世界最關心的問題之一。AWS預計將看到更多的數據保護法規實施、更多相關專案的投入,以及更多企業實現自動化轉型。
歐盟一般數據保護規則(General Data Protection Regulation,GDPR)與加州消費者私隱保護法(California Consumer Privacy Act,CCPA)等只是數據保護立法的開端。根據思科2019年的調查發現,近半數(47%)受訪者認為,遵守GDPR的公司更值得信賴。隨著數據保護領域越趨成熟,大眾對數據保護法的需求不斷成長,政府透過立法以回應日趨成長的需求。根據Gartner的預測,到2024年底全球75%的個人資料將受到法規保護。
在接下來的幾年裡也將看到企業加大對數據保護的投資。根據Gartner預測,到2024年大型企業的平均年度數據私隱預算將超過250萬美元。部分投資將用於評估數據風險、執行持續管理、資源管理任務,以及開發工具在內的數據保護計畫,在維持業務穩定營運的同時降低數據風險。
AWS將繼續關注私隱監管與相關立法的發展,並確保客戶所需的工具能滿足他們的合規需求。AWS確保客戶透過其服務和工具(例如Amazon IAM、CloudTrail、Macie等)來管理和控制數據,並確定數據儲存位置、安全性以及存取權限。AWS也透過提供服務來保護數據私隱,使客戶達成私隱控制,包括高級存取、加密和日誌功能。此外,客戶也能選擇在AWS遍佈全球的任何一個或多個區域中儲存資料,放心地將數據儲存在選定的AWS區域當中。
預測五:更先進的多重要素驗證將更加普遍
未來採用生物識別和多模式身份驗證的形式將更加普遍,例如多重要素驗證(Multi-factor authentication,MFA)將安全性和可用性互相結合,確保用戶在改善安全狀況的同時獲得流暢體驗。
MFA是最簡單且最重要的安全保護方式之一,使攻擊者難以在密碼洩露於網絡或員工受到社交網絡攻擊時獲取帳戶資訊。密碼的安全係數較低且容易洩露,而MFA能加強帳戶的安全性,在密碼防護之外,加設額外的驗證因素(例如生物特徵識別等使用者的既有資訊)。
多重要素指的是使用兩個或更多的要素認證,當中包括漫遊(如Yubikeys和Virtual Authenticators)和平台(如Windows Hello和Apple FaceID等設備)。多模式則指使用多種生物特徵來存取系統,依靠個人獨特的生物特徵以驗證身份,通常涵蓋一個物理或行為特徵。依賴生物特徵識別將使MFA為客戶提供更加順暢、自然的體驗。在多模式生物特徵系統中,將結合物理生物特徵因素(指紋、聲音、虹膜或臉部識別)與行為因素(鍵擊、手勢、抓握等)。現今MFA被廣泛地用於商業與個人用途,AWS相信下一個先進應用將更普遍地採用多模式生物特徵認證,因為MFA更加便利且安全。
全球各地政府與知名企業對安全的日益重視趨使MFA的使用日漸廣泛。如FIDO(Fast IDentity Online)聯盟、美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)和美國政府等組織正在推動MFA作為線上保護的基礎。
AWS鼓勵企業客戶在未來幾年持續關注MFA的發展,了解如何改進現有功能,或將新的MFA功能建構到企業的日常工作中。
預測六:量子運算將有利於提高安全性
目前量子運算尚未成為大眾的關注焦點,但它正在逐步演進,量子安全也以加密技術的形式隨之推進。AWS已經開始著手為後量子時代做準備。長遠而言,我們希望量子運算在未來能大幅提高安全性,但在現階段各個公司應該確保他們使用最新的加密方法來保護資料安全。
有些研究顯示,量子運算有朝一日將變得更加普遍且實用,雖然目前尚不清楚確切的時間點,但預計會削弱部分的加密技術,包括我們用於HTTPS和TLS等資料傳輸安全協定的加密演算法。業界目前正在研究量子安全與後量子加密技術,其中不同的演算法和不同的金鑰大小提供了與現今相同的安全級別,甚至可以匹敵量子電腦。隨著加密演算法和協定不斷演進,未來設備的連接方式也將發生轉變,我們的手機、筆記型電腦和伺服器將採用量子運算這項新技術,以確保通訊私隱。
AWS展望量子運算將推動雲端安全的發展。一旦企業運用更多量子運算和量子演算法,將能以有別以往的方式去思考經典演算法,甚至改進經典演算法,並激發創造性解決方案的推出。例如一名量子研究人員已經能將傳統電腦與量子電腦的能力做匹配,向使用者推薦喜歡的產品。
目前業界對量子運算尚存疑慮,加密技術的標準也正持續發展中。NIST仍在努力進行為期多年的後量子加密技術標準化的多輪評估,預計在2024年前制定新的量子安全標準。AWS與許多大型企業正參與其中,並提交了BIKE與SIKE兩個選項,兩者皆通過第一輪篩選,並將82個原始提案縮減至26個。此外,考慮到不同的方法會權衡性能的不同方面(例如更快的計算但更高的網絡負荷),NIST也將會對多個提案進行標準化。
展望未來,AWS將持續與其他企業合作,共同實施未來標準,並繼續開發和實施後量子加密。建立和控制用於加密和數碼簽署資料的金鑰AWS KMS已經支援TLS 1.2部分混合後量子金鑰交換演算法。
這篇文章 預測 2023 年及未來六大資訊安全趨勢 最早出現於 TechApple.com。
