第一階段認識完了雲端環境的身份與存取管理 (IAM),接下來就進到雲端資安風險與防禦。
🎯 目標:理解企業如何保護 API、內部網路與設備
進階資安防護機制
1️⃣ API 安全(API Security)
API 是雲端系統的「大門」,如果沒保護好,駭客就能輕易入侵。常見的防護方式有:🔹 API Gateway(API 閘道)
👉 充當 API 的「守門員」,過濾不安全的請求,提供身份驗證與流量管理。
✔ 例子:AWS API Gateway、Kong、Apigee。
這三個都是市面上常見的 API Gateway 方案,但來自不同公司。
- AWS API Gateway(Amazon 服務)
👉 適合使用 AWS 雲端的企業,與 Lambda、EC2、S3 等 AWS 服務整合很方便。
- Kong(開源 API Gateway)
👉 適合 DevOps 團隊,需要靈活管理 API。它是開源的,可以自己架設,企業也能付費使
用進階版。
- Apigee(Google 旗下的 API 管理平台)
👉 適合企業級 API 管理,提供 API 分析、流量監控、風險防護等功能。
✔ 例如:某銀行的 API 需要嚴格監控安全性,就可能使用 Apigee。
🔹 Rate Limiting(流量限制)
👉 限制 API 的請求頻率,避免 DDoS 攻擊或惡意爬取數據。
✔ 例子:每分鐘最多允許 100 次 API 呼叫,超過就封鎖。
🔹 OAuth 2.0 驗證機制
👉 確保 API 只能被授權的用戶或系統存取,防止未經授權的存取。
✔ 例子:使用 OAuth 2.0 Token 來存取 API,而不是直接傳帳號密碼。
為什麼不用帳號密碼,而要用 OAuth 2.0 Token?
1️⃣ 安全性更高:
- 如果帳號密碼外洩,駭客可以永久存取 API。
- Token 通常有「有效期限」,過期就無法使用,即使被竊取也影響較小。
2️⃣ 避免重複輸入密碼:
- 如果 API 需要頻繁驗證身份,每次都傳帳號密碼不安全,也不方便。
- 使用 Token,系統可以自動驗證,而不用一直請使用者輸入密碼。
2️⃣ 流量出站控制(Egress Control)
內部系統如果隨意連到外部網站,可能會:
- 不小心把敏感資料傳出去(資料外洩)。
- 被駭客引導到惡意網站(惡意指令與攻擊)。
🔹 如何控制?
1. 設定防火牆規則(只允許信任的網站)
👉 想像你的電腦有一扇門,防火牆決定這扇門可以打開給誰。
做法:
✅ 設定「只能連到特定的 IP 或網域」,其他網站一律封鎖。
✅ 限制雲端伺服器(VM、Kubernetes、Serverless)只能連到公司內部 API 或指定的外部 API。
例子:
🚫 不允許 你的伺服器對外連接 「未知的雲端儲存服務」(避免資料外洩)。
✅ 允許 你的伺服器連接 「Google API」(因為公司需要用 Google 服務)。
2. 使用 Proxy 或安全閘道(Gateway)(監控所有對外連線)
👉 想像 Proxy 是「公司的保全」,所有人要出門前都要經過審查。
做法:
✅ 使用 Proxy(代理伺服器)來監控流量,確保沒有連到可疑網站。
✅ 用 Cloud NAT(雲端網路地址轉換)或 Squid Proxy 來集中管理流量,這樣所有外部連線都經過公司的監控點。
例子:
- 🚫 如果你的伺服器試圖連到「惡意網站」,Proxy 會直接封鎖。
- ✅ 如果你的伺服器要存取「官方 API」,Proxy 會允許通過。
Proxy 是什麼?
👉 Proxy 就像「中間人」,幫你處理對外連線,保護你的真實身份和流量。
想像這樣的場景:
你想買東西,但不想讓店家知道你的住址,於是你找了一個「代購」,讓他幫你下單,然後轉送給你。這樣店家只會看到代購,而不會知道你的住址。
Proxy(代理伺服器)就像這個**「代購」,它站在你的設備和網際網路**之間,幫你發送請求,隱藏你的真實 IP 位址,並監控、控制網路流量。
3, DNS 過濾:阻擋可疑的網域,防止惡意程式偷偷對外通訊。
👉 DNS 過濾就像「網站黑名單」,可以阻擋特定的網址,防止惡意程式與駭客伺服器通訊。
DNS(Domain Name System)是負責把「網站名稱」轉換成「IP 位址」的系統。
- 正常情況:當你訪問
google.com,DNS 會查找 Google 的 IP,讓你的電腦連上 Google 伺服器。 - 惡意情況:如果你的電腦被病毒感染,它可能會偷偷連到
malware.com這類駭客網站,傳送敏感資料或下載惡意程式。
DNS 過濾的作用:
✅ 建立「網站黑名單」,阻擋已知的惡意網站。
✅ 防止惡意程式對外聯繫,例如勒索軟體嘗試與駭客伺服器溝通。
✅ 避免員工存取不安全網站,提升企業資安防護。
3️⃣ 端點安全(Endpoint Security)
👉 在雲端環境中,端點 = 伺服器或運行應用程式的地方
這些端點就是駭客可能攻擊的目標,所以我們需要保護它們。
常見的端點類型:
1️⃣ 虛擬機(VM,Virtual Machine)
👉 就像「線上的電腦」,在雲端租用的伺服器。
✅ 例子:AWS EC2、GCP Compute Engine。(雲端的 Windows/Linux 伺服器)
2️⃣ Kubernetes 節點(Kubernetes Node)
👉 負責執行「容器」的伺服器,用來運行微服務應用。
✅ 例子:你在雲端用 Kubernetes 部署一個 Web 服務,它會分配到「節點」上運行。
3️⃣ Serverless 環境(無伺服器架構)
👉 不需要管理伺服器,程式自動運行,執行完就關閉,不佔資源。
✅ 例子:AWS Lambda、Google Cloud Functions(上傳程式碼,雲端幫你運行)。
📌 如何保護端點?
這些「端點」如果沒有做好安全防護,駭客可以入侵、執行惡意程式,或竊取資料。
🔹 保護端點的方法:
✔ 最小權限原則(Least Privilege Principle)
✅ 只開放「必要」的存取權限,不要讓程式有超過需要的權限,避免駭客利用。
✅ 例子:Serverless 函數 只能存取特定的資料庫,而不是所有的伺服器。
✔ 修補漏洞(Patch Management)
✅ 確保 VM 或 Kubernetes 容器的軟體沒有安全漏洞。
✅ 例子:Docker Image 不能使用過時的版本,要定期更新。
✔ 端點偵測與回應(EDR, Endpoint Detection & Response)
✅ 使用資安工具監控異常行為,如果有駭客攻擊,能即時回應。
✅ 例子:AWS GuardDuty(偵測異常流量)、CrowdStrike(保護 VM)。
