[資安小常識] 因應2016雲端資安趨勢的皇家馬德里和Azure AD B2C

在討論雲端之前,先看看 PWC 2016 的 the Global State of Information Security Survey歸類的五大重點: 風險基礎框架的回饋 絕大多數的組織-91%-都有安全框架,而大部分都是選擇混合框架。ISO 27001是大家最常依循的準則。這樣的指導原則讓威脅更快被辨認和偵測、降低風險並釐清安全缺口。風險為主的框架讓公司不論對內或對外更有效的溝通、合作,來面對資安問題。這些框架也能幫助企業設計、監控、衡量更好的資安防護。許多人也認為敏感資料因而更有保障。 從雲端資安獲益 近年因為供應商穩定投資資料防護、隱私、網路安全、身分和存取管理等進階科技,雲端運算儼然進化為縝密的資安工具。不難想像69%的組織使用雲端資安服務來幫助保護敏感資料和隱私。 大數據的衝擊 大數據越來越大。今年59%的組織利用分析大數據來建構模型並監控資安威脅、回應事件、並審視資料來了解它的用途和來源。資料導向的方法讓資安防護從被動外圍防禦進步到能善用即時資訊設法預防攻擊。資料導向的資安讓公司更清楚網路中的異常活動並能更快速辨認和回應攻擊。 與外部合作,強化資訊安全情報 過去三年和外部合作的組織數量穩定成長。從2013年的50%成長至今年的65%,組織表示合作下加強了資訊安全、降低了風險。爭取合作的組織明顯獲益。大多組織表示外部合作讓他們更好分享和接收產業夥伴的資訊,像是Information Sharing 和 Analysis Centres (ISACs),政府和法律單位。資訊分享需求提高了許多人的警覺。 更高位階 科技驅使大家開始聚焦資安能力和人力的培養。因而資安相關高層扮演越來越重要腳色。今年54%的回報組織擁有負責安全計畫的CISO。49%擁有一位CSO。不論頭銜是什麼,這些職位和責任都是近年資安位階提升的結果。資安議題更加深入董座助長安全實施。46%的董事會參與資安預算生成,這無疑是安全經費得以提升的一大因素。另外識別主要風險、培養組織的安全意識,還有更好的總體風險管理和業務目標的安全陣線,都是值得一提的良好成果。    企業運用雲端的實例- 皇家馬德里 和 Azure AD B2C 皇家馬德里是世界聞名的足球隊,不僅冠軍獎盃數量引以為傲,龐大的粉絲團和熱情球迷對球團來說是更珍貴的資產,然而4.5億的全球關注與支持是甜蜜的負荷,行銷和管理與科技必然的結合帶來許多問題。 如果想要貼近、了解、回饋球迷,就必須要能儲存粉絲資料。但身分管理需要耗費許多IT資源:帳號密碼管理和服務、支援不同登入方式、不同類型的安全驗證、身分確認….更何況身為大球隊、用戶數量驚人且會持護擴大。撇開自己的管理難題,還要為用戶資料的安全負責,而做好資安防護又是另一個大花費。 皇家馬德里在Azure AD B2C preview就開始合作。Azure AD B2C不僅幫球團管理好用戶資料,也讓龐大多元的用戶能使用跨平台的裝置, 也支援使用主流大社群帳戶如Facebook、Google的登入。如此一來因為雲端廣泛的支援服務與跨平台所帶來的高可得行,公司為粉絲發行的APP的影響力更大。然而網路的大接觸面積也代表遭受攻擊的機會增加。有Azure AD一如往常優秀的統一管理和安全服務下,公司能較有保障的擴大服務規模。不論是多重要素驗證、威脅偵測、安全回報,或是Azure能找到的眾多資安工具,原本IT管理公司的功能,現在都能帶給客戶端同樣的效益。另外皇家馬德里的龐大客戶群,更是整個雲端和自家企業的大數據分析完美的來源。 “The Azure platform will help us provide the services we want…