公有云比地端部署基礎架構更加安全？這是無庸置疑的，但前提是機構所采用的云端環(huán)境，必須跟得上云端安全防護優(yōu)勢的全球趨勢。

為了改善機構的安全防護措施，決策者必須掌握以下六項趨勢：

趨勢1：公有云的成本效益
許多大型機構正面臨傳統(tǒng)地端部署數據中心環(huán)境日漸復雜的問題。公有云供貨商的產品服務規(guī)模，并不會增加作業(yè)復雜性，反而是一大優(yōu)勢。因為公有云可以充分發(fā)揮規(guī)模經濟的效益，降低部署單位的費用，以更便宜的價格進行基礎控管，將安全性作為最優(yōu)先的考慮，進而投資與實施地端部署基礎架構無法比擬的安全防護措施。

舉例來說，Google Cloud的基礎安全架構采用零信任原則，任何網絡、裝置、人員及服務在證明其安全性之前都不會授予信任，因此安全性超越一般地端部署標準。該架構采用深度安全防御機制，可透過多層控管措施來防范設定錯誤和攻擊。默認的安全防護技術包括采用Titan安全性芯片，用于安全啟動，以及為傳輸中的數據和靜態(tài)數據進行加密，另一項技術為機密運算節(jié)點，可為處于使用中狀態(tài)的數據加密。


 
圖一 : Titan安全性芯片可以用于安全啟動，以及為傳輸中的數據和靜態(tài)數據進行加密。

趨勢2：「命運共同體」模式的重要性
妥善實施安全防護措施并非易事，采用地端部署環(huán)境的機構必須自行負責建立有效的安全防護機制。然而云端運算一直以來都是以共同責任模式為基礎，這是一種具有相互依賴性的命運共同體模式：云端服務供貨商負責保護底層基礎架構 （即云端服務安全性），而客戶則負責確保設定、數據保護及存取權的安全性 （即使用云端時的安全性）。



 
圖二 : 云端運算以共同責任模式為基礎，這是一種具有相互依賴性的命運共同體模式。

除了分配責任以外，這種模式也讓云端客戶和云端服務供貨商共同享有成功經驗。Google Cloud于預設將安全性納入考慮的設定、安全環(huán)境設定藍圖、堆棧政策階層，以及法規(guī)遵循認證、稽核內容、監(jiān)管法規(guī)遵循支持、評分設定透明度，甚至是風險防范計劃保險等形式的控管機制保證。


趨勢3：資安領域的良性競爭
全球公有云供貨商競相提供更優(yōu)異的安全防護機制，整個產業(yè)的安全性強化功能發(fā)展速度與規(guī)模也隨之提升。這樣的市場競爭讓云端安全防護規(guī)范越來越嚴格，同時也提升了云端靈活性與生產力，進而帶來效能優(yōu)于地端部署環(huán)境的創(chuàng)新安全防護技術。

云端環(huán)境成效將始終領先于地端部署環(huán)境，因為地端部署環(huán)境的競爭力較弱，且難以逐步提供更卓越的安全防護機制。盡管地端部署環(huán)境可能永遠不會完全消失，但是透過云端環(huán)境方面的競爭，將能夠以地端部署環(huán)境從未達到、也無法達到的方式，推動安全技術創(chuàng)新。

Google Cloud 的專屬工程團隊采用安全漏洞檢測做法，并綜合數萬名客戶優(yōu)異的創(chuàng)新技術精華，為所有使用者簡化這些技術并主動汲取相關知識。這種清楚、精確且淺顯易懂的安全性政策主張，有助于協助客戶在風險更低的情況下進一步發(fā)展。


趨勢4：云端環(huán)境可作為數字免疫系統(tǒng)
公有云供貨商不斷推出數百項更新，每一項安全性更新都是根據要求、威脅、安全漏洞或全新攻擊技術而研發(fā)。因此，安全性方面的改良并非只是應對措施，而是可以擊潰所有攻擊種類的功能強化工作。假如客戶沒有可以應用這類型資源的大型安全性團隊，那么可以采用最合適的安全策略，便是使用云端服務所提供的每一項安全功能更新來保護網絡、系統(tǒng)和數據，這就像是獲得了一個全球數字免疫系統(tǒng)一樣。


趨勢5：軟件定義基礎架構：持續(xù)監(jiān)控控管機制與政策意圖
相較于地端部署，云端環(huán)境的一大優(yōu)勢為軟件定義基礎架構。這代表云端環(huán)境能夠以更靈活的方式進行設定，讓客戶免去硬件配置或管理作業(yè)的負擔。從安全性的角度來看，這代表客戶能夠將安全性政策指定為程序代碼、持續(xù)監(jiān)控其設定成效，也能在更低的作業(yè)風險下，變更建構與應用模型，并允許分階段進行變更與實驗。

提升安全性的兩個軟件定義基礎架構包括Google Cloud的BeyondProd模型和SLSA架構。BeyondProd 可讓微服務在公有云、私有云和第三方托管的環(huán)境中，藉由精細的控管功能安全地運行，而SLSA架構則制定了滿足軟件供應鏈完整性的條件，并將其應用至軟件開發(fā)與部署作業(yè)。云端安全防護機制可讓客戶充分享有調整業(yè)務與技術的靈活性，進而在可靠性風險更低的情況下積極采取更嚴格的控管措施。


趨勢6：基礎架構部署速率與擴充性
由于云端環(huán)境的規(guī)模，供貨商需透過持續(xù)整合/持續(xù)部署（CI/CD）系統(tǒng)，自動化軟件部署和更新作業(yè)。這么做可以確保各地產品版本一致，提供安全性強化功能、頻繁的改良功能和安全性更新，在大規(guī)模實現可靠性的同時，也能在發(fā)生任何問題時快速進行復原。最終，客戶能在風險更低的情況下進一步提高工作效率。

Google Cloud的安全性和其他機制均以API為基礎，且在各產品中皆保持一致，讓設定管理作業(yè)可透過程序輔助方式進行，也就是以程序代碼形式進行設定。這個做法讓客戶能采取CI/CD做法進行軟件部署和設定作業(yè)，以便保持云端使用情形一致性，進而提升部署速度。

云端企業(yè)安全性的發(fā)展前景晴空萬里
以上六大趨勢為公有云帶來地端部署基礎架構無法比擬的重大安全防護優(yōu)勢。云端運算持續(xù)協助機構透過比以往更少的成本及精力，實現規(guī)模經濟、控管安全性風險、運用創(chuàng)新安全防護技術、提升數字免疫力、享有控管設定的優(yōu)勢，并發(fā)揮高速部署的效益。
（本文由Google提供，作者為Google Cloud1亞太區(qū)安全技術副總Mark Johnston、2韓國安全技術專員Jinwon Seo、3中國臺灣地區(qū)技術副總林書平、4大中華區(qū)安全技術副總Ken Zhang）