特別報導
               Special Issue







              年仍持續快速將工作負載轉移到雲端。在調查                                  在不同調查中，共同呈現出「雲端安全
              中發現，有超過9成的組織表示，目前或將在未                            配置管理」是企業資安人員普遍缺乏信心認
              來2年內，把超過50％以上的工作負載轉移到雲                           為應優先投資的項目，而多雲、混合雲環境
              端。而大多數的組織追 求 混 合 或 多 雲 策 略 ，                     為企業帶來法令遵循與合規性的挑戰。
              以維持服務。                                                整體來看，上雲不僅是合規遵循，更重

                  其中，數位轉型和網路安全衛生是資訊                            要的是雲端地端整合風險管理策略，包含從
              長和資安長在管理網路風險時的一大難題。                              上雲服務盤點與規劃、上雲作業風險評估、
              企業應秉持著「永不信任，始終驗證」的概                              雲端地端流程整合等。
              念，以零信任概念建立核心架構，來弭平業                                   A W S資深雲端安全策略專家A l v i n  L i指
              務、資訊和網路領域之間的差距，從而降低                              出，監管科技在過去幾年發展快速。其中可
              營運複雜度，並強化生態系安全。                                  分為二類，一類是銀行使用（Regtech），銀
                  而 多雲、混合雲環境為企業帶來更多的                           行的風險管理報告或資料可從系統找出來，
              資安挑戰，組織加快採用雲服務面臨的最大挑                             使用科技更有效地滿足監管和合規要求；另
              戰，主要不是技術，而是人員和流程，其次是                             一類則是監管機構使用（Suptech），將科技

              法令遵循合規性以及資料安全保護等問題。                              用於金融業監管和監督的目的。
                  林 彥 良 表示，管理多雲、混合雲環境的                              雲端技術的優勢有幾個層面，包含現在
              關鍵在「簡化管理的複雜性」。面對雲端服                              化傳統系統，以提高敏捷性和規模；滿足迅
              務常見的資安威脅中，雲端服務用戶的安全                              速變化的行為和期望；利用資料和創新來推
              問題逐漸受到重視，隨著後疫情時代的企業                              動業務增長，在最安全、合規、有彈性的雲
              重新開放與資安投資，雲安全議題亦重新被                              端上信心十足地建置。
              定義，對比2019年與2022年於雲端安全威脅                               而雲端技術的安全性包含強韌的基礎設

              的調查結果，雲安全配置錯誤、不安全的街                              施、透過深度整合服務，實現自動化並降低
              口╱API、與未經授權的訪問成為企業應重視                            風險、在高能見度和卓越控制下實現擴 展 、
              的安全風險。                                           內置全球安全與合規控制措施。


              企業資安須跟上數位轉型                                      Capital One以資料湖管理欺詐風險
              避免雲端暴露風險                                         協助決策提供信息


                  其 中，金融服務業仍然是主要攻擊目                                 舉例來說，美國的C a p i t a l  O n e（第
              標，雲端環境亦無法避免，企業的資安防護                              一 資 本金融公司）就使用資料湖管理欺詐

              必須跟上數位轉型的腳步，才不會讓雲端環                              風險。Alvin  Li指出，主要是Capital  One希
              境暴露在風險中。而雲端服務用戶的安全措                              望優化其支付欺詐檢測算法，為客戶和銀行
              施不足或使用不安全的軟體，是常見造成雲                              提供足夠的保護，同時減少虛假警報，因此
              端資安事件的原因。                                        Capital One使用Amazon S3在AWS構建了一個






         94   台灣銀行家2022.9月號






   1          5%     JOEE