Google雲端、ACE都參與！鏈三上雲活動分享了哪5大重點？

Google Cloud 、 CouldMile 、 Elastic 和 ACE 交易所，身為各領域的翹楚，於 5 月 25 日共同舉辦「鏈三上雲：資安解析峰會」，分享上雲的經驗以及完善的雲端解決方案，讓上雲不再只是口號，可以落地執行，大幅提升公司的效率與競爭力。

根據 Gartner 統計， 2025 年雲端的 IT 支出將正式超越地端，等同宣告雲端時代正式來臨。隨著上雲普及化，雲上最重要的事——「資訊安全」成為企業關注的重點。

資訊安全的重要性，可以「短板理論」解釋。當用木板拼成的桶子裝水時，只要任何一片木板過短，水就一定會從那一面流出。 CloudMile 解決方案架構團隊主管梁文典以此為寓，同理在資安的世界裡，只需要一個小漏洞，就可能造成巨大的損失，尤其是金融業與 Web3 產業。

使用 Google Cloud，即享用 Google 服務的資安高標

上雲第一件事，就是在各種雲端服務提供者中選出最適合的解決方案。 Google Cloud Platform（以下簡稱 GCP ）身為全球雲端服務的領導者，也以「資安」為雲端服務的首要重點。 Google Cloud 客戶解決方案架構師 Neo Chen 表示：「 Google 身為世界領先的網路服務提供者，打造全世界最先進的安全防護機制，以確保使用者的上網安全與隱私；而企業使用 GCP 時，也能享有與 Google 相同的安全基礎架構來確保企業的雲端資安。」

GCP 結合了 Google 的資安解決方案，搭配 NIST CSF 架構，針對辨識（ Identify ）、保護（ Protect ）、偵測（ Detect ）、回應（ Respond ）、復原（ Recover ） 五大防護類別，分別配置對應的解決方案。 Neo 強調，全面性的資產盤點是最重要的第一步，此外善用 Cloud Armor 阻擋攻擊、 Security Command Center （ SCC ）做 24/7 的監控，並搭配 VirusTotal 的情資，一旦遭受攻擊，也可使用 Mandiant 的資安事故調查及應變機制，快速反映、修復，並避免同樣情境再次發生。

完善上雲三面向：系統、數據、雲端備份，對抗資安「短板理論」

企業上雲，主要可分為三部分：系統、數據和備份資料。CloudMile 解決方案架構團隊主管梁文典表示，論及系統和數據上雲，雲端資安架構相當重要。 CloudMile 根據 NIST CSF 架構，依不同的情境協助客戶進行資安成熟度評估，再遵照評估後的結果對症下藥。在 Google 的 Security Command Center （ SCC ）協助之下， CloudMile 可進一步解釋資安風險、提供可能解決方案與補償性控制措施，全面把關雲端資訊安全。

近年來， Log4j 核彈級漏洞、戰爭的威脅、勒索軟體當道，再加上合規的需求，備份救援也變成企業的基本配置。 CloudMile 建議依循「黃金備份 3-2-1 原則」：所有資料加上原始檔案至少要有 3 份資料，放置於 2 種不同的媒介上，且至少建立 1 份異地離線備份，在這樣的配置下，才能最大化雲端優勢，並達到完整的雲端防護。

除此之外，雲端架構也可解決 Web3 產品在上鏈時，可能遇到動態需求和提供快速服務的挑戰。面對這些挑戰，將應用系統容器化，提高開關速度，使用者即可透過 Google Kubernetes Engine（ GKE ）中的 GKE Standard 或 Autopilot ，分別滿足掛載 GPU 運算或降低維運負擔的需求。 

「 Shift Left 」當道，雲端協作鞏固資安成趨勢

然而，資安的建置並非只是公司資安團隊的責任。 Elastic 區域總監 Fernand Cheng 強調，在左移（ Shift Left ）觀念盛行的今日，資安更應該在產品開發初期，就成為公司內每個部門考量的首要要素，因此選擇一個可以彈性協作的雲端資安平台，也成為公司把關資安的重要任務。

他同時以資安廠商 Check Point 的數據：「台灣今年首季每週遭受 3,250 次的網路攻擊，居全球之冠」為警示，台灣廠商在面對大量威脅，且攻擊手法愈發新穎的時空背景下，知道誰曾經來過你門前，並試圖攻擊所留下的「足跡」，就成為重要的「證據」。 Elastic 善用其本業「收納」和「搜尋」的技術，收集企業的記錄檔案（Log），透過機器學習，進一步辨識資安風險，可降低誤判以及遺漏的機率。

在資安界，除了防禦，另一件大事就是合規。 Fernand 分析， Elastic 收集的大量資料與容易搜尋的特性，讓合規更加容易。透過 Elastic 的儀表板，使用者可以在大量資料中，快速的抽絲撥繭，以符合合規需求，也可注入其他資料來源進行驗證，達到合規目的。

Web3 資安合規，GCP 成最佳助攻員

資安就是現代的戰爭，在 Web3 的世界更是如此。台灣 Web3 交易所 ACE Exchange 資安協理徐方繹認為，有鑒於 Web3 產業對雲端環境的依賴，更應強調資安合規的重要性。 ACE 以 ISO27001 為標竿，並利用 GCP 有效協助合規。徐方繹分享，在這場現代的戰爭中， Google 的 VirusTotal 和 Mandiant 提供有效的情資，讓 ACE 能進一步透過 Chronical 的 SIEM ，用速度和情資，獲得完美的資安屏障。

徐方繹強調， ACE 就算晚別人一步上新功能，也要確保所有開發符合資安標準，「我們系統開發一定有一個安全評估的流程，不斷確保半年前寫的程式，盡可能半年後也沒有問題。」身在瞬息萬變的 Web3 產業， ACE 透過 Google 的 SCC 獲取情報，並以快速反應為目標。 SCC 會定期更新，並在短時間內對營運和測試環境進行掃描，提供最新的情報。一旦獲取情報， ACE 立即做出反應並進行修補，以保護用戶的資產和數據。

Web3 產業的資安防禦策略：情境演練和備份措施

合規之外， Web3 的資安防禦向來也是熱門話題，徐方繹認為鏈上之外的 Web3 產品開發，需要專注於軟體開發和應用的安全性，這包括應用程式的開發、網站的安全性、數據的加密和保護等。此外， Web3 產業也應該關注情境演練和備份措施，定期進行災難恢復演練，並妥善管理包括冷備援、暖備援配置和異地備份等，以確保在發生災難或緊急情況時能夠快速且有效地恢復業務運營。

雲端必定是全球企業的未來，面對 Web3 時代來臨，網路結構正站在轉捩點之上。在這樣的環境下，企業搶先架構雲端系統，不但能因應戰爭時事的威脅、 AI 時代數據的需求、使用者對速度和品質的要求，還可以搶先部署資安協作架構。提升企業的競爭力到最前線，才足以應付大時代下的這場資安硬戰。