毫無資工/程式背景的 PM，要如何自學雲端資安？

發佈於軟體開發

更新於 2025/03/16發佈於 2025/03/14閱讀時間約 9 分鐘

從今天起，想要紀錄自學雲端資安的歷程。
---
學習的起手式，現在已經習慣到 chatGPT 開啟第一步下指令：

如果是初學者，想要學雲端資安，可以從什麼地方著手？

以下是 ChatGPT 的回覆：

學雲端資安，初學者可以從以下幾個面向循序漸進地開始：

🚀 第一階段：打好基礎

網路與資安基礎
- 網路架構與協定：學習 TCP/IP、HTTP/HTTPS、DNS 等。
- 資安基礎觀念：了解 CIA 三要素（機密性、完整性、可用性）、身份驗證 (IAM)、加密、與防火牆等基本概念。
- 推薦資源：
- - NetworkChuck YouTube 頻道
  - 《CompTIA Security+ Study Guide》
雲端基礎
- 三大雲服務模型：IaaS、PaaS、SaaS
- 主要雲平台：AWS、Azure、Google Cloud (GCP) 等。
- 推薦資源：
- - AWS Cloud Practitioner 免費學習課程
  - Google Cloud Skills Boost

🌥️ 第二階段：雲端資安核心概念

身份與存取管理 (IAM)
- 學會設定使用者角色、權限原則與多因素認證 (MFA)。
- 在 AWS 學 IAM Policy、Role 與 Identity Federation。
資料保護與加密
- 學習雲端中的資料加密方式：靜態資料加密 (Encryption at Rest)、傳輸資料加密 (Encryption in Transit)。
- 探索 KMS（Key Management Service）等密鑰管理系統。
網路安全
- 熟悉 VPC (虛擬私有雲)、防火牆、安全群組、NACL（網路存取控制列表）。
- 學會如何設計安全的網路拓撲結構。

🔥 第三階段：實作與證照

雲端資安實作
- AWS Security Hub、Azure Security Center、Google Security Command Center：這些工具會幫你了解資安風險與最佳實踐。
- 練習建構一個小型專案，例如：
- - 在 AWS 建立 S3 儲存桶並設定存取原則與加密。
  - 設計一個具備防火牆、負載平衡的雲端網路架構。
證照學習路線
- 初階證照：
- - AWS Certified Cloud Practitioner
  - Microsoft Certified: Azure Fundamentals (AZ-900)
  - Google Cloud Digital Leader
- 資安相關證照：
- - AWS Certified Security – Specialty
  - Microsoft Certified: Security, Compliance, and Identity Fundamentals (SC-900)
  - Certified Cloud Security Professional (CCSP)

📚 資源推薦

線上課程：
- AWS Cloud Security on Udemy
- Coursera：Cloud Security Specialization
社群與論壇：
- 加入 Cloud Security Alliance (CSA) 社群。
- 參與 GitHub 上的資安開源專案，例如 CloudSploit。

---

看完了這一串回覆，完全沒有資工或程式相關背景的我，立刻消除了一大半學習的動機，只覺得讀到了一大堆看不懂的文字。

於是，我又下了一個指令：

如果我是一個完全沒有資工跟程式背景的人，我可以怎麼做？

我得到的資訊是：

完全沒資工或程式背景也沒問題！學雲端資安其實可以從零開始，我幫你規劃一個零基礎友善的學習路線：

🚪 第一步：建立基本概念（0基礎友善版）

網路與資安的基本觀念
- 想像網路是一個社區，有房子（伺服器）、門鎖（密碼與權限）、郵局（DNS）等。
- 學習：
- - 網路是怎麼運作的：IP、網址 (URL)、HTTP/HTTPS
  - 資安的基本概念：什麼是駭客、病毒、加密、身份驗證
- 📚 推薦資源：
- - The Internet Explained in 5 Minutes (YouTube)
  - Google 的數位學程（數位素養與網路安全）
雲端的入門理解
- 雲端 = 把你的資料放在別人的電腦上，像是使用 Google 雲端硬碟、iCloud 等。
- 學習：
- - 雲端的三種服務模型：IaaS（基礎建設）、PaaS（平台）、SaaS（軟體）
  - 三大雲平台：AWS、Azure、Google Cloud（GCP）
- 📚 推薦資源：
- - AWS 免費課程：AWS Cloud Practitioner Essentials

🌱 第二步：逐步了解雲端資安的核心領域

身份與存取管理 (IAM)
- 簡單理解：就像設定「誰可以進你家」的規則。
- 學習重點：
- - 使用者與角色
  - 權限管理與多因素認證 (MFA)
資料保護與加密
- 想像：你把日記上鎖並交給雲端保管。
- 學習重點：
- - 靜態資料加密 (At rest)
  - 傳輸中資料加密 (In transit)

📚 推薦工具：

使用 Google Drive、Dropbox 等理解雲端儲存
AWS 免費帳號：在 S3 儲存桶上設定檔案的公開/私有權限

🎯 第三步：實作與證照

超簡單的雲端專案練習
- 在 AWS 建立免費帳號
- 試試：
- - 建立 S3 儲存桶，並設定檔案的公開與私密權限
  - 啟用多因素驗證 (MFA)
考個入門證照，建立信心！
- AWS Certified Cloud Practitioner
- Microsoft Azure Fundamentals (AZ-900)
- Google Cloud Digital Leader

---

得到了上面的內容後，開始有一個初步的方向跟關鍵字可以往前了，加上主管給我的其他關鍵字：

WAF (Web application firewall
DDoS
Sync flood
OWASP Top 10
SQL Injection

---

指令再調整一下：

喔對了，我不需要學實際的操作，我是個 PM，我只需要知道概念，可以用來跟進工程師的專案就好

得到的內容如下：

🚀 第一階段：雲端資安的基本觀念（1-2週）

🌐 1. 雲端與資安的基礎概念

雲端服務模型：IaaS、PaaS、SaaS（知道責任邊界是誰的責任：雲供應商 vs. 使用者）
資安三要素：CIA（三要素：機密性、完整性、可用性）
網路基礎：HTTP/HTTPS、IP、DNS 等，了解攻擊通常針對哪個層級

📚 重點思考：

當工程師說「這是雲供應商的責任」時，你知道哪些是供應商該處理的，哪些是你們內部要守住的。

推薦資源：

AWS Shared Responsibility Model：AWS 責任共擔模型
Google Cloud Security Overview

🛡️ 第二階段：重點資安領域拆解（3-4週）

🔥 1. WAF (Web Application Firewall)

概念理解：

WAF 是什麼？ 保護網站應用程式不被攻擊，過濾惡意流量。
它攔什麼？ 阻擋 SQL Injection、XSS 等常見攻擊。
常見討論點：
- 工程師說：「我們要設定 WAF 規則」，你該問：
- - 「是預設規則集 (Managed Rules) 還是客製規則？有哪些攻擊模式是我們特別要防的？」
  - 「WAF 規則會影響網站效能嗎？」

📚 補充資源：

AWS WAF 概念簡介
Cloudflare 的 WAF 介紹

⚔️ 2. DDoS 與 Sync Flood

概念理解：

DDoS 是什麼？ 分散式阻斷攻擊，用大量流量癱瘓伺服器。
Sync Flood？ 利用 TCP 三向交握的漏洞來讓伺服器資源耗盡。
常見討論點：
- 工程師說：「我們要設定 DDoS 防護」，你該問：
- - 「我們是用哪一層的防護？L3/L4 還是 L7？」（不同層有不同的應對方式）
  - 「有啟用自動調整的保護機制嗎？像是 AWS Shield Advanced？」

📚 補充資源：

Cloudflare 的 DDoS 防護概念
簡單版 TCP 三向交握介紹

🏹 3. OWASP Top 10

概念理解：

什麼是 OWASP Top 10？ 全球最常見的網頁應用程式漏洞排行榜。
常見漏洞有哪些？
1. Injection（SQL Injection、Command Injection）
2. Broken Authentication（弱密碼、會話管理漏洞）
3. Sensitive Data Exposure（資料未加密）
常見討論點：
- 工程師說：「我們需要做 OWASP Top 10 的測試」，你該問：
- - 「我們目前最可能遇到的是哪幾個漏洞？有風險等級評估嗎？」
  - 「如何確認這些漏洞已經被修補？有沒有測試報告？」