安全合規的環境日益複雜,全球有132個國家與地區已制定資料保護和隱私相關法規。台灣金融監督管理委員會(金管會)在2021年頒布設立資安長(CISO)的新準則,資安長不僅需要肩負風險管理的責任,亦須在業務拓展上扮演重要推手。Amazon Web Services(AWS)作為業界享有引領地位的雲端服務供應商,除了確保其雲端基礎設施以及所提供的雲端服務的安全合規,也不斷幫助客戶掌控雲端的安全,共同應對資安威脅,幫助客戶能滿足不斷變化的合規需求。這些優勢將幫助台灣資安長人才在數位轉型時抵禦各式新型資安攻擊,並實現安全、合規且創新的資安治理。
破除迷思,認知「雲端是安全的」,AWS的安全合規能力為客戶護航
全球企業正將內部資料往雲端遷移,除了能節省成本、提高業務敏捷性和彈性外,還能重新配置資安部署。AWS雲端本身的安全合規奠基於高度彈性且可靠的基礎設施以及雲端上各項服務的安全性,使客戶能夠快速、安全地部署應用程式和資料,並採用冗餘和分層控制、持續驗證和測試,確保底層基礎設施得到7 X 24小時全天候的監控與保護。其次,AWS提供如洋蔥般的多層安全防護,提升客戶在雲端中的安全。同時,AWS首創安全責任共擔模型,推動安全及合規建設,AWS負責底層雲端基礎設施和所提供雲端服務的安全,客戶負責雲端內部的安全,客戶的責任由自行選擇的AWS雲端服務決定。AWS目前提供280種以上的安全合規服務,協助客戶在雲端上創新的同時確保自身的安全合規。例如Amazon GuardDuty透過機器學習的方式,搜索各階段的攻擊樣態以進行防禦,增加駭客的難度,另外,AWS秉持客戶擁有和控制自己資料的原則,讓客户能對資料進行加密、移動以及存取,而AWS則提供複雜的技術和物理措施以防止未經授權的存取。再者,AWS的API管理和安全工具,可自動執行安全任務,包括執行狀態檢測、保護、威脅修復和回應,減少人工配置錯誤。合規方面,AWS擁有98項安全標準與合規認證,並定期對數千個全球合規性要求進行第三方驗證,以幫助客戶達到財務、零售、醫療保健、政府等方面的安全性與合規性標準,滿足幾乎全球所有監管機構的合規要求。
AWS的雲端服務已獲得全球數百萬客戶的信賴,諸如美國中央情報局(Central Intelligence Agency,CIA)、日本政府、美國證券商公會(FINRA)、那斯達克(Nasdaq)、道瓊(Dow Jones & Company)等受到高度監管的組織都將業務遷移至AWS。AWS也攜手許多合作夥伴,共同幫助不同產業與規模的客戶,打造安全合規的雲端治理。例如在台灣,AWS就與網路資安全球領導廠商趨勢科技一起為客戶提供領先的雲端防護解決方案,以支援客戶在 AWS上的創新。
有效的資安治理需與公司的商業決策相輔相成
資安長的核心職能為業界近期關注的焦點,AWS亦憑藉在全球服務數百萬客戶轉型和創新的深厚經驗,為當下及未來的資安長人才解讀此職位的核心。AWS台灣暨香港總經理王定愷表示,雲世代資安長不僅應具備技術能力,亦須具備管理能力。最重要的是,資安長應該輔佐公司的商業決策,而非讓安全成爲業務創新的阻礙。因此,雲世代的資安長除了要認知「雲端是安全的」,更應該清楚自己的核心價值,能夠承上溝通,獲取信任與授權,使管理階層了解公司的資安風險;同時也要能維持橫向溝通,與一道防線了解公司的核心資產與風險威脅,才能落實有效的資安治理。雲端已成為勢在必行的趨勢,AWS願與雲世代的資安長共同協助公司抵禦資安攻擊,協助企業順利上雲並奠定競爭利基。