云端资料储存的确存在固有的风险，但目前也有方法能降低这些风险。从公用云到混合云，公司必须根据受保护项目的价值进行挑选，并实作能达到高度安全性的技术。

云端资料储存技术的吸引力愈来愈强。现今企业之所以选择云端储存技术，是因为此技术平台兼具成本效益、可用性及恢复性，能让企业在多个环境之间快速布建资源。云端有三种选择，分别是公用云、私有云和混合云，各有优点，在安全性方面也各有优劣。

大型第三方云端供应商都有安全专用频宽，但并非所有供应商都是如此。无论是哪一种类型的云端环境，都存在安全漏洞，如内部威胁、帐号窃取、分散式阻断服务（DDoS）、仅用密码的防御措施，以及无所不在的恶意程式等。云端的单纯性，正是容易遭受各种恶意攻击的原因。透过监测、身份验证、注册处理及网路流量评估方法，即可提高安全侦测水准，有效排除大部分的网路滥用行为。

登上头条还是安全储存资料

云端本身具有安全性风险。不论是Microsoft、Dropbox、墨西哥国家选举委员会、LinkedIn、Home Depot、Apple iCloud及Yahoo，都曾遭受过至今最严重的一些云端安全性漏洞。光是2019年就发生过未经授权存取资料、员工资讯、技术及厂商流程等漏洞。维持可用性并确保将停机风险降至最低，是云端供应商的责任。但其实所有相关单位都难辞其咎。

提高安全性的方法有很多。虽然云端供应商会提供一定程度的安全性，但也应该采取其他补强措施。另外，企业可以聘请安全解决方案公司来强化其保护能力。应确保资料准确，就能真正发现资料异常之处，而不是让伺服器出现不正确的资讯。需要整合并汇整云端资讯。确保持续提供保护，同时升级和分析保护做法，并在必要时做出更改。

留意能促进更全面整合的机会。归根结底，若能从单一主控台全面检视所采用的任何云端，则可提供更好的端对端保护。需要良好的第三方安全工具将这些不同的环境整合在一起。俗话说得好，便宜没好货。如果只是因为价格最低而选择某个方案，使用后发现不尽理想也是预料之中。

众多可用的开发选择

维护资料储存安全性的方法推陈出新，功能也更加强大。以下举几个例子：

Microchip的PIC-IoT WG 开发板可将16位元的PIC应用连线至Google Cloud。如图一所示，此开发板由PIC微控制器（MCU）、安全元件 IC 以及通过认证的 Wi-Fi 网路控制器组成。此解决方案可消除大型软体架构和即时作业系统（RTOS）固有的安全漏洞。

图一 : Microchip 的 PIC-IoT WG 开发板，能让设计人员在新一代 IoT 产品中安全地增添云端连线。（source：Microchip Technology）

此PIC-IoT WG开发板可透过线上入口网站连接。此开发板可让开发人员使用线上入口网站，将云端连线添加到新一代产品中。在此入口网站上，开发人员可使用该公司MPLAB Code Configurator（MCC）进行应用的开发、除错和客制化作业。

此开发板可促成eXtreme Low-Power（XLP）PIC MCU与整合式核心独立周边以及安全元件连接，借此保护硬体的信任根目录。此PIC-IoT WG开发板由MPLAB X整合式开发环境（IDE）和MCC快速原型开发工具提供支援。

在此「边缘到云端」环境中，提供安全身份验证非常重要。 Microchip的ATECC608A CryptoAuthentication元件提供硬体式信任根目录，再结合Google Cloud Platform的 Google Cloud IoT Core或AWS IoT，可达到必要的安全身份验证（图二）。而此安全性要归功于加密辅助处理器以及安全的硬体式金钥储存区（最多可储存 16 个金钥）。使用CryptoAuthoLib函式库，就可独立地选择MCU。

图二 : Microchip 的 ATECC608A 安全加密元件，可针对 Google Cloud 和 AWS IoT 平台提供安全身份验证。（source：Microchip Technology）

Microchip的安全工厂会使用ATECC608A的硬体安全模组（HSM）网路布建元件凭证。安全元件会使用元件凭证和乱数产生器（RNG），在工厂产生元件内的私钥，因此，使用者、制造流程或软体绝不会得知这些私钥。

STMicroelectronics的高连接性STM32L4 IoT 探索套件，可让建构IoT装置的开发人员快速将系统连接至云端服务供应商。设计人员能充分运用ST的X-CUBE-AWS扩充软体，快速连接到 Amazon Web Services（AWS）IoT平台，并取用云端上的工具和服务，包括装置监测和控制、数据分析以及机器学习。

图三 : STMicroelectronics 的 STM32L4 IoT 探索套件，可让开发人员以相对较轻松的方式，将系统连接至云端服务。（source：STMicroelectronics）

风险在哪里？

根据 Cisco 网路安全报告，有31%的企业组织都曾遭受网路攻击；IBM估计，有37%的安全性风险位于应用层。使用云端服务供应商的服务时，和其他人将会使用相同的应用使用者介面，这表示从身份验证到加密的过程，安全性的充沛程度有待商榷。请记住，资料除了被取用以外，也可能遭到篡改或删除。请确保供应商提供高规格的安全性。请使用身份验证和加密技术，并确切了解云端服务供应商所提供的安全能力及其历来的效果。

总结

令人惊讶的是，根据RedLock（一家为组织整体公用云端环境提供可视性与威胁侦测服务的供应商）的资讯，有49%的资料库都没有加密，且平均有51%的企业都曾公布至少有一个云端储存服务。 Gartner宣称，到2022年，预计至少有95%的云端安全事件是源自于客户的过失。 Forrester也断言，有80%的安全漏洞涉及授权凭证。显然，许多单位都要为此负责，而云端服务供应商和云端服务使用者都是罪魁祸首。

毫无疑问，若想维持资料安全，除了必须对资料进行加密和使用多因素身份验证外，还需要限制存取、测试现有的安全能力，更要在组织的各个层级提供安全训练。组织不仅需要选择强大的云端安全解决方案，不让犯罪活动可机可乘，还要重视企业实务和政策，以补强云端服务供应商的措施。此外，也要持续重新检视这些措施，跟上快速演变的安全措施潮流。

云端就跟所有资料储存环境一样，的确存在固有的风险，但目前也有方法能降低这些风险。从价格较亲民且符合成本效益的公用云，到能为资料隔绝风险的混合云，公司必须根据受保护项目的价值进行挑选，并实作能达到高度安全性的技术。

（本文作者Rich Miron任职于DigiKey公司）