01/30 2023

當雲端資安成顯學 (下) 用AWS雲端提升企業間合作資安防護力

AWS 資安

在上次的「當雲端安全成顯學」專題中,博弘雲端從內部保障資料安全、AWS資安新服務 Amazon Security Lake 安全資料湖以及AWS Local Zone等角度切入,讓企業了解因應內部資安稽核制度不足,上雲將會是保障企業雲端資料安全的重要策略。(延伸閱讀: 當資料安全成顯學 (上) AWS雲端如何把關企業資料安全?) 而在與不同企業進行異業聯盟合作時,雙方機敏資料往來的傳輸過程,該如何確保完整加密,以及在使用上的安全性? 今天當資料安全成顯學的第二篇專題中,我們要從「企業用AWS合作的安全守則」、「AWS Clean Rooms 新功能保護企業間的合作隱私」等層面,帶企業進一步提升與外部合作時的資料安全與防護力 !

💡 企業必須要知道的資安小學堂:
1. 企業間合作需要知道的AWS雲端安全守則!
2. 合作隱私權保護! AWS Clean Rooms 新功能簡介
3. 了解AWS雲端共同責任模型 企業資料安全不漏接 

用雲端合作專案安全嗎? 企業需要知道的AWS雲端資安守則

現在不少企業間的合作會使用雲端運算,來幫助提升專案的效率。然而在AWS雲端使用上,虛擬私有雲端 (Virtual Private Cloud, VPC) 中的資安保護與Amazon EC2 運算機器的安全群組 (Security Group) 設定就相當重要。

  • 虛擬私有雲 (VPC): 在這一項的基礎服務中,企業會在虛擬私有雲環境中建立機器。而兩間企業在合作時,會有資料相互傳輸,抑或虛擬私有雲環境相互溝通的工作產生。也因此在設定上,VPC的環境必須確保IP位置的設定僅限由兩方的環境可以進行通訊。另外在與外部資源連接上,網際網路閘道 (Internet Gateway) 也必須讓VPC環境內的公有子區域 (Public Subnet) 連結,才能安全與外界進行溝通。除此之外,在資料存取上,使用 VPC Peering 對等互聯讓企業在資料存取上有更多的彈性,但同時也能保障在傳輸過程中的安全隱私。
  • Amazon EC2 的安全群組 (Security Group) 設定: 在VPC環境中的虛擬機器 Amazon EC2,將扮演雲端運算的重要角色。由於資料進出傳輸,會需要靠安全群組的幫忙,過濾掉可疑的流量傳輸,這也讓安全群組成為保護虛擬機器的最後一道防線。在安全群組中,使用者必須小心設定連接點的範圍,以及來源與目的地的輸出輸入規則,讓執行個體不受可疑流量入侵。

企業間的雲端資安全保護! AWS Clean Rooms 新功能簡介

除了上述的服務讓企業間的合作不會受到「外部網路攻擊」的影響而造成資料外洩,那企業在合作的時候可以怎麼更有策略性的保護公司內的機敏數據資料,但同時也能享有與外部企業合作,達到商務拓展的目的呢? AWS 在2022年的re:Invent 就推出「AWS Clean Rooms」的服務,讓金融、醫療、行銷等需仰賴大量數據進行工作的產業,可以與其他外部企業在不影響與揭露相關原始機敏數據的情況下,進行資料組結合與分析的合作案。

以航空業舉例,近期疫情趨緩不少人準備出國旅行,航空業者也摩拳擦掌準備好進行各式各樣的行銷活動。而與不同夥伴進行合作,讓行銷廠商能夠透過航空業者所建立的 AWS Clean Rooms 設定,進行顧客喜好資料的查找。航空公司不用擔心客戶個人資料洩漏的相關疑慮,因為在合作前業者可以設定第三方廠商查找資料的權限。在進行客戶資料行銷分析後,就可以與相關的AWS數據分析服務串接,用圖表視覺化及機器學習,找出最有效益的行銷活動。如此一來,運用AWS Clean Rooms的服務,兩方的合作都不用直接連接到Amazon S3的機敏資料區,就可以直接在Clean Rooms上進行資料串接查找的服務,讓航空業者獲得更多洞察之外,行銷廠商也能夠有策略性的執行該產業的行銷活動。

📍 延伸閱讀: 產業資安面面觀 遊戲業如何用AWS雲端提升資安?

AWS Clean Rooms 讓企業間的合作也能確保資料安全與隱私性

了解AWS共同責任模型 企業雲端資料安全不漏接

使用了相當多的工具輔助,最重要的雲端資安防護概念依舊是「AWS雲端共同責任模型 (Shared Responsibility Model)」。在這個模型中,企業端要做到的是「雲端資料的安全保護」,以及「平台的身分驗證管理 (Identity & Access Management, IAM)」。其中,IAM的設定,最佳實踐方式是必須做到分群組與分服務,並給予群組內的使用者最少權限原則 (Least Privileges),避免雲端資源遭濫用或遭到刪改。以下圖為例,在IAM設定當中的群組,管理者會賦予成員們不同的權限 (Policy) ,更會給予AWS服務所需要的角色 (Role),執行雲端運算,以達最佳效益。

如此一來,在AWS管理基礎設施與其他全託管服務的安全性同時,企業端也能實踐AWS雲端環境內的資料安全。當資料安全成為顯學,企業保護資安的危機感也緊接而來,在數位當道的時代,培養員工資料安全的自主意識,頻繁更新保護資安的設備,並且使用雲端高效率管理資料系統與安全性,大幅降低資料遭駭與入侵的機會,提升企業資安防護力!

看更多與雲端資料安全相關文案:

更多博弘雲端協助提升資安的客戶案例: