雲端移轉(Cloud Migration)每天都在發生。根據分析師的預測,到了2021年會有超過75%的中大型企業將工作移轉到雲端環境–但要如何確保成功?不僅僅IT團隊、運營和安全等等影響因素,企業領導、財務以及企業內諸多其他組織也都會造成影響。在接下來的文章,將會圍繞如何成功進行雲端移轉這個主題,從多個角度來探討最佳實作、前瞻性思維以及使用案例。
雲端移轉(Cloud Migration)每天都在發生。根據分析師的預測,到了2021年會有超過75%的中大型企業將工作移轉到雲端環境–但要如何確保成功?不僅僅IT團隊、運營和安全等等影響因素,企業領導、財務以及企業內諸多其他組織也都會造成影響。在接下來的文章,將會圍繞如何成功進行雲端移轉這個主題,從多個角度來探討最佳實作、前瞻性思維以及使用案例。
雲端遷移將帶來的部分好處,技術上的優勢包含可擴展性、高可用性、簡化基礎設施維護及符合許多產業認證的環境,就成本來說,也能將CapEx(資本支出)轉換成OpEx(營運支出)模式,而且無需資料中心成本。
雖然搬遷肯定會伴隨著許多的風險,但只要善加規劃,加上公司專心一志,就可以成功地踏上雲端運算的第一步。而公司的專心一志是必須要認知的重要一環。企業需要經由不斷地學習、成長及適應這新環境來整合雲端運算所提供的敏捷性,鳳凰計畫(Phoenix Project)和獨角獸計畫(the Unicorn Project)這兩本書中所提到的內容,就是說明企業成功轉型的必要性和步驟很好的例子。
誰會參與雲端安全
從雲端服務供應商開始提供服務以來,一直在討論客戶運營團隊的「共享責任模型(Shared Responsibility Model)」。它定義不同層面的管控機制,以及隨之而來對安全、管理和維護的需求。雖然假設每個人都已經熟悉此模型,但還是重點介紹一些要求,並且深入探討組織各部門的職責。
在雲端移轉過程中,毫無疑問會遇到適合不同配置的各種雲端服務。從雲端基礎架構服務(IaaS)到雲端軟體服務(SaaS),都需要根據服務的控制層級來對雲端服務進行運營監督(包括安全性)。舉例而言,因為負責作業系統和應用程式,因此在一個雲端執行個體中,仍需部署適當的修補管理程序,至於雲端檔案物件儲存,則只需監督權限和資料管理。 那麼誰會參與雲端移轉中的安全性?
• InfoSec—這很顯而易見。他們負責組織內所有的資訊安全。因為雲端移轉與「資訊」相關,因此InfoSec需要參與來了解該如何取得資料以監控跟組織有關的安全性和風險問題。
• 雲端架構師—這是另一個值得一提的部門;如果你是以直接移轉的方式來建構雲端環境的安全框架,那麼注定會背負舊的運作方式所留下來的過時原則。為了自動化各項操作(包括安全性)而建造的敏捷平台會是移轉成功的重點。
• IT/雲端運營—這可能是相同或不同的團隊。隨著越來越多資源搬遷到雲端,IT團隊對實體基礎設施的責任會越來越小,因為現在改由雲端服務供應商運作。他們必須提升自己來學習操作和保護混合環境的新技能。而要完成新技能的提升需要管理階層的協助。
• 管理階層—是的,管理階層在運營和安全性方面扮演著重要的角色,即便不是CIO/CISO/COO階級。儘管有些猶豫是否該直接點出,不過在進行雲端移轉的過程中,業務轉型是必不可少的步驟。雲端所帶來的加速不能被傳統運營和安全意識形態所抑制。每個部門都需要參與經由實作敏捷流程(包括自動化運營和雲端安全性)來加速為客戶群創造價值。
但無論企業在哪個階段,讓所有關鍵參與者專注在讓雲端移轉成功可以達到最終階段:企業的徹底改造,運營和安全性的自動化可以加速為客戶提供價值。
建立完善的安全性框架
遷移第一個工作負載前所需要的關鍵原則,便是架構良好的結構(Well-Architecture Framework)安全性支柱,因為它完整地闡述雲端設計最佳實踐內的安全性概念。
以AWS為例,熟悉AWS Well-Architected Framework至關重要,讀者不妨參考以下部落格文章(https://wa.aws.amazon.com/index.en.html),此一框架主要是由五個支柱(Pillar)組成,同時包含在各領域擁有豐富經驗的架構師所寫的最佳實踐資訊。
既然這裡的主題是安全性,那麼就從此一支柱先開始。
此一安全性框架裡包含了七個原則:
• 建立強大的身分管理基礎
• 啟用可追溯機制
• 對每一層都提供安全防護
• 自動化最佳安全實踐
• 保護傳輸中和靜止時的資料
• 讓人與資料保持距離
• 準備好應對安全事件
現在,這些原則裡有好幾項可以透過原生雲端服務解決,通常那些也是最容易實作的部分。此框架並沒有提供的是如何設定或配置這些服務的建議。雖然它可能會提到啟用多因子身分認證(MFA)是身分和存取管理策略所必需的步驟,但預設並不會啟用。關於檔案物件加密也是一樣,它提供此功能讓你使用,但你不一定要啟用才能建立物件。
趨勢科技擁有一個包含數百則對應架構良好的結構之雲端規則的知識庫,可以在進行雲端移轉期間及之後加強你的知識。以上述所提到的多因子身分認證為例,在知識庫文章詳細介紹了四個R:風險(Risk)、理由(Reason)、原因(Rationale)和MFA是最佳安全實踐的參考資料(Reference)。
從風險(Risk)等級開始並詳細說明為什麼這對你的設定構成威脅,這是對發現進行優先排序的好方法。它還包含不同的合規性要求和架構良好(Well-Architected)支柱(在此情況下顯然是安全性),並提供對不同框架的描述性連結來取得更多詳細資訊。此知識庫規則存在的理由(Reason)也包含在內,可以提供規則的脈絡資訊,有助於在雲端移轉期間進一步地推動安全態勢。
資安應該是新文化
一個持續發展的組織必須以DevOps的心態看待資安,企業的每位員工都有責任落實資安。這不該只是營運團隊的責任,而是公司所應培養的新文化:從一開始就將資安做好,將資安視為理所當然。建議你可從以下幾點開始著手:
1.從上到下都應重視資安
高階經理人應該將資安視為雲端移轉計畫的關鍵成功因素之一,而非只是其中一個步驟。資安必須是預計執行雲端移轉計畫的企業,在規劃、建置、開發、部署雲端應用程式時的最高指導原則。這就是為何AWS的Well Architected架構其中一項支柱就是資安。你可參考這樣的架構來規劃,將資安融入移轉的每一階段。
2.建立一套雲端資安政策或將資安融入現有的政策當中
從已知的先著手:最低權限管理原則、雲端原生網路防護等等。這有助於開始為新的雲端資源建立一套適合未來使用的架構。你可和雲端供應商及資安廠商共同討論如何根據一開始的移轉服務來規劃一套完整的政策。要提醒的是,將工作負載搬上雲端之後,移轉的工作並不會就此結束。必須繼續投入資源在營運團隊與流程,才能邁入雲端原生應用程式交付的下一階段。
3. 採用全方位的雲端防護服務
採用一整套全方位的雲端防護服務,如Trend Micro Cloud One可大大減輕為新的雲端移轉計畫建立執行時期資安控管的壓力。這套服務中的Workload Security早已廣獲全球數千家客戶採用,保護了數十億小時的AWS雲端工作負載,提供主機入侵防護、惡意程式防護等資安控管,還有法規遵循所需的一致性檢查與應用程式控管。而Network Security則能滿足所有雲端網路封包安全檢查需求,直接與雲端網路基礎架構整合,提供巨大的效能與設計優勢,遠遠超越Layer 4虛擬裝置,不必經常變動路由表,也不必將錢浪費在基礎架構上。在移轉工作負載時,可利用Conformity來隨時檢查資安狀況是否符合Well Architected架構的要求。如此一來,企業將擁有一套安全、靈活的全新基礎架構,讓團隊徹底發揮全新雲端工作負載的效益,開始打造新一代雲端原生應用程式。
<本文作者:趨勢科技全球技術支援及研發中心/本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>