在多司法管轄區的世界中實現多雲端合規性

迷霧般的雲端：風險不明，後果嚴重

雲端既帶來機遇，也帶來風險。對大多數組織而言，機會仍遠大於風險。但大部分風險都來自潛在的合規性違規行為——資料可能以某種方式被儲存、存取、修改或外洩，導致組織無法遵守日益複雜的資料保護和隱私監管框架。

更糟糕的是，許多 IT 和網路安全專業人員甚至不瞭解這些風險可能存在的位置。隨著資料和工作負載分佈在多個雲端，要獲得可見度變得更加困難（絕大多數組織都屬於這種情況）。雲端變得更像是一團迷霧，掩蓋了潛伏的合規性風險。與此同時，國際組織必須遵守的司法管轄區要求也在不斷增加。

由於安全性架構已被證明不足以管理這些合規性風險，IT 團隊和合規性官員需要一種新的方法，能夠在事件發生之前識別並緩解雲端的合規性違規行為。

雲端合規性的挑戰

當雲端託管資料暴露給未經授權的人員時，組織將面臨失去客戶信任、聲譽受損、監管機構的潛在審查以及其他負面後果。在最壞的情況下，如果監管機構認為組織未採取合理措施保護其資料，資料外洩可能會導致罰款。

這些暴露是如何發生的？可能透過多種途徑，從社交工程攻擊、存取控制不足，到外部惡意人士直接發動資料外洩攻擊等，不一而足。然而，雲端環境在避免資料外洩方面，也帶來了獨特的挑戰與障礙。特別是當雲端服務提供者與雲端客戶之間需共同分擔安全責任時，設定錯誤便成為一項重大的風險來源。

雲端部署中無意的人為錯誤（稱為設定錯誤）是雲端資料面臨的最大風險之一。如果公有雲端部署意外暴露在公用網際網路上，或出現其他類型的設定不當，可能會導致重大資料洩露，例如 2020 年 Twilio 的遭遇。

雲端設定錯誤的情況正日益增加。隨著越來越多企業轉向採用雲端服務，整體的攻擊面也隨之擴大，因資源設定不當而導致資料外洩的風險也隨之升高。Gartner 的分析指出：「到 2027 年，雲端環境中 99% 的記錄洩露將源於使用者設定錯誤和帳戶洩露，而非雲端提供者的問題。」

通常，只有在設定錯誤已經產生影響後，才會偵測到問題。這是因為許多廣泛使用的雲端安全解決方案，例如雲端安全狀態管理 (CSPM) 或雲端原生應用程式保護平台 (CNAPP) 服務，都是在事後才發現症狀，而不是在 DevOps 團隊設定這些服務時識別症狀。這種事後偵測機制僅能觸發警示，而修復往往需要較長時間，導致雲端資源在漏洞修復前處於持續暴露狀態。

當組織知道自己可能不合規或由於設定錯誤而遭受攻擊時，可能為時已晚。

在雲端中的資料安全性、完整性和合規性方面，還存在許多其他挑戰，包括：

• 資料外流：無論位於雲端或本地，數位資產都會為惡意方提供各種攻擊媒介。然而，由於實體基礎架構不屬於組織的直接管轄和責任範圍，多雲端部署會帶來額外的威脅。從簡單的社交工程攻擊到高度客製化的漏洞利用，攻擊者擁有各種各樣的方法從雲端擷取資料。

• 多租用戶：公有雲端由許多組織共用，其安全責任由雲端提供者和雲端客戶共同承擔。研究表明，如果不執行安全邊界，雲端託管資料可能會意外地分享給其他雲端租用戶。

• 影子雲端基礎架構：組織經常會出現被遺棄或被遺忘的雲端執行個體。這種情況在組織轉型、變革和擴展，以及角色和職責調整的過程中自然會發生。此外，當員工出於好意，為了完成工作而自行採取行動，卻未遵循既定的 IT 流程時，也可能導致這種情況發生。其結果可能形成一個「影子」多雲端基礎架構——這些資源未被正式納入管理，也不受安全政策的保護，卻可能儲存著敏感性資料。

這些雲端合規性和安全性挑戰正在對組織產生即時影響。CrowdStrike 在其雲端風險報告中指出，雲端漏洞利用增加了 95%。攻擊者直接鎖定公有雲端服務的案例暴增了 288%。此外，該報告發現，僅僅識別此類漏洞就平均需要 207 天，更不用說遏制它們了。

雲端安全問題持續存在，使企業面臨風險。這不僅在法規遵循、財務穩健性及整體企業安全方面形成了一顆不定时炸彈，其財務風險更是不容小覷。單單是歐盟《一般資料保護規定》(GDPR) 規定的罰款就可能高達 2000 萬歐元或企業全球年收入的 4%，以較高者為準。

多個司法管轄區的世界

此外，每個司法管轄區都有自己的法規。全球各地為保護資料而需要採取的安全和隱私措施各不相同。一些主要法規包括：

• GDPR 和 NIS2 指令對歐盟居民資料具有管轄權

• 《數位個人資料保護法案》(DPDP) 對印度的個人資料進行監管

• 美國各州或產業特定的法規（例如，CCPA、HIPAA)

• 產業法規，例如控制個人付款資料處理方式的 PCI DSS

確保所有雲端執行個體都符合所有相關監管架構，這是一項幾乎無法透過手動工作來完成的任務。隨著組織嘗試進入新市場，它還可能阻礙業務發展。

最後，如果不定期稽核所有資料和系統，就很難證明合規性，而當組織依賴跨多個雲端提供者的多雲端部署時，這一點就具有挑戰性。

內聯雲端安全性解決方案

我們需要的是預防性的方法。提前預測和預防所有風險和錯誤是不可能的，因此預防性方法應該採取在雲端執行個體部署時進行的線上安全性和合規性檢查的形式，而不是在錯誤發生之後。錯誤應該被自動追蹤並即時緩解，合規措施也應自動執行，而非仰賴人工操作。

Cloudflare 正是將這種內嵌雲端安全檢查融入其平台，為客戶提供服務。Cloudflare 透過自動評估和強制執行安全設定，簡化了客戶的雲端安全合規性，幫助確保強大的安全性並符合最常見的監管框架。Cloudflare 會檢查雲端 API 流量，為組織提供增強的可見度和精細的控制，並允許採取主動的方法來降低風險和管理其雲端安全狀態。

Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章，本文為其一。

重點

閱讀本文後，您將能夠瞭解：

• 雲端運算的安全性和合規性風險

• 使用多雲端基礎結構如何導致設定錯誤

• 跨多個雲端和多個司法管轄區的資料合規性潛在解決方案

相關資源

• 保護和連接應用程式服務的三大挑戰

• 應對資料當地語系化與合規性

• 雲端對企業安全性的影響