以智慧網雲 (Elastic Cloud )為題 趨勢科技向學子下戰帖用雲端運算將網路資源運用極大化

【2010年3月16日台北訊】為持續厚植雲端運算實力、成為指標性的雲端技術領導廠商，全球資安大廠趨勢科技近期動作頻頻，繼上個月宣布成立子公司騰雲計算與贊助台大開設雲端計算趨勢學程後，今日再針對校園公布「2010趨勢科技騰雲駕霧程式競賽」的起跑消息。去年試行的「先教後戰」制度獲得參賽同學高度肯定，今年將再次整合研發部門資源，帶領參賽選手利用雲端運算知識與技術，挑戰全球目前最夯的智慧網雲（Elastic Cloud）議題。預計這場競賽將吸引超過五百名學子共同角逐高達200萬元的總獎金與趨勢科技預聘書！

發表者：Wael 趨勢科技資深安全專家

今年二月初，趨勢科技再度強化與全球 IT 服務領導廠商 Wipro 的合作關係。我對這項消息感到非常興奮，因為這次的合作是由 Wipro 一些全球規模最大的資料中心客戶所促成。

上星期，我恰巧有個機會能夠訪問到 Wipro 副總裁兼企業安全解決方案全球總監 Prasenjit Saha。我在先前發表的文章當中曾經答應要找一些產業專家來分析、比較一下實體、虛擬與雲端環境所面臨的不同挑戰。身為 Wipro 公司企業安全解決方案事業部 (Enterprise Security Solutions Division) 的成立者，Prasenjit 在過去十年已一手建立了全世界第三大的資訊安全服務供應商。其全球化客戶向來是橫跨虛擬與雲端運算之新一代資料中心環境的定義者，更別說影響全球資訊安全廠商的產品發展方向。以下請看我們的談話內容­。

WAEL：您可否談一下虛擬化在過去十年來對您客戶的資料中心轉型所造成的影響？

PRASENJIT：虛擬化對我們客戶的主要影響，簡單來說就是降低營運成本與整體持有成本 (TCO)，原因包括：硬體利用率提高、電源效率提升、管理更容易。此外，技術的進步也讓擴充性、可用性、行動性都獲得改善，故障的風險與影響也因而降低。再者，能夠輕易擴充容量和輕鬆回復，也讓我們的客戶隨時能夠應付任何基礎架構變更，不論是面對新的業務，或是災難。整體投資報酬也因為這些優勢而提升。

WAEL：聽起來都是正面的優點，那有沒有什麼缺點呢？

PRASENJIT：從安全的角度來看，虛擬化的缺點在於要維持相同的安全等級，有其實務上的困難。不良的虛擬化策略，可能會導致同一台虛擬化伺服器內的虛擬機器 (VM) 之間出現網路安全漏洞，讓虛擬機器間的攻擊更加容易。不僅如此，不當的租用設計，也可能導致資料從高安全區域外洩到低安全區域。再者，由於虛擬伺服器非常容易配置，因此必須有一套嚴格的虛擬化控管程序來防止廢而不用或惡意的虛擬機器到處蔓延、佔用資源，形成網路的潛在漏洞。

WAEL：身為一家管理服務供應商 (MSSP)，您要面對兩項彼此衝突的目標，那就是：保護您的客戶和降低您的成本。要同時達到這兩項目標，您最大的挑戰是什麼？

PRASENJIT：我們最大的挑戰之一，當然就是實際將解決方案部署到

趨勢科技資深工程師作者：Rik Ferguson

英國有四分之三的資訊長 (CIO) 認為資訊安全是雲端運算接納度不高的主要障礙，但是，如果您看看維基百科 (Wikipedia) 上有關雲端運算的文章，「安全性」卻是雲端式服務的主要特色之一，聽起來是不是有些矛盾？

之所以會出現這樣的矛盾，問題應該是出在語言本身，而非技術。眾所周知，講到技術，「雲端」一詞對每個人的意義都不盡相同。若講到天上的雲朵，那可就有無限的變化！不過，不管怎樣，「安全性」一詞的意義絕對是相同的。

當您的談話對象不同，例如：系統管理員、網路管理員、程式設計師、駭客、警衛、場地管理員，或者是三星級上將，每一個人對安全性的認知就會不同，此外，達到安全性的目標與方法也會有所差異。如果您的對象是企業 CXX 級的高階經理人，那麼他們對安全性的認知 (尤其是雲端安全)，鐵定又是截然不同。

雲端運算的時代終將來臨。雲端運算能讓企業簡化硬體與軟體，創造真正的價值，同時又能減輕 IT 預算上的負擔。此外，雲端運算徹底改變了 IT 基礎架構，也改變了資料保護的方式。

昨日的資訊安全威脅主要是破壞電腦與網路。今日的威脅則專門竊取資料和資訊 (信用卡卡號、身分證字號、金融資料等等)，不但如此，現在的企業和使用者還為資料氾濫所苦。今天，全球網路上流通的資料量已經以 PB (petabyte) 來計算。這些資料不僅龐大，而且行動性高。我們有各式各樣的用戶端裝置，例如：筆記型電腦、迷你筆記型電腦、平板電腦、智慧型手機等等，全都具備收發雲端資料以及使用雲端應用程式的能力。資料不再集中於單一伺服器或裝置。那麼，這麼龐大的資料，我們如何確保其安全性？尤其，向來以資料與資訊交換安全為己任的趨勢科技又有何對策？

IDC（國際數據資訊公司）的Frank Gens說2010年會是IT產業的轉變年（transformational year for IT），部份轉變來自雲端運算技術。雖然雲端運算是熱門話題，許多IT朋友對主機部份從供應商的選擇到對安全與順應性的控制，仍感迷失與不確定。我們整理出一份很讚的資源列表來助你在這些議題中導航。如果你發現其它值得分享的內容，請讓我們知道。

有數家企業機構和集團在協助瞭解雲端技術，提供了最佳的實行方式並促成標準化：

l          Cloud Security Alliance雲端安全聯盟是一個非營利性機構，宣導提供安全防護和一般教育的最佳雲端運算使用實行方式。他們設有Google Group和LinkedIn Group 可供提問或參考其他IT人員所面對的問題。可在Twitter推特@CloudSA.上進行跟隨。

l          Jericho ForumJericho討論區致力於全球公開網路環境安全事業的提升。

l          Cloud Computing Interoperability Forum雲端運算互通性討論區是一個非營利協會組織，在推動接納雲端服務。可加入他們的Google Group來瞭解更多相關資訊。

l          Open Cloud Computing Interface Working Group雲端運算公開介面工作小組正在進行雲端運算基礎架構中遠端管理的應用程式介面（Application Program Interface，簡稱API）。

l          Distributed Management Task Force:  Open Cloud Standards Incubator 分散管理工作小組：公開雲端標準化培育，處理雲端系統管理的互通性。

l          歐洲網路與資訊安全局（European Network and Information Security Agency，簡稱 ENISA）整理出一份雲端運算風險評估（Cloud Computing Risk Assessment）報告，審視雲端運算的安全優勢與風險。

發表者：Justin Foster

趨勢科技趨勢科技 Deep Security 及OfficeScan Intrusion Defense Firewall軟體架構工程師

隨著新的應用程式開始以雲端模型為開發基礎，開發人員也開始希望透過平台服務化 (Platform-as-a-Service，簡稱 PaaS) 來簡化應用程式的開發與部署。畢竟，要照顧應用程式底層的作業系統、資料儲存、訊息佇列以及應用程式容器，是一件複雜而耗費成本的工作。PaaS 的承諾，就是要提供一個應用程式基礎架構，由供應商負責照顧底層的堆疊。

聽起來的確不錯，不過，您得先仔細思考量一下您將放棄的安全控管能力：

可見度：在一個 PaaS 環境中，使用者只負責部署應用程式與資料。從終端使用者的角度來看，這並沒有一種標準的方法可以了解修補程式版本、收集系統/伺服器記錄檔，或者執行漏洞評估 (遠端測試通常是不允許的)。您如何知道自己的基礎是否穩固？

可攜性/互通性：PaaS 與 IaaS 不同之處在於，IaaS 上的虛擬機器通常可以在不同服務供應商之間互通，但 PaaS 卻會用到客製化 API、特殊應用程式容器，有時甚至是程式語言延伸功能。您是否能夠在必要時移轉您的應用程式？

安全性：大部分的 PaaS 方案都無法讓客戶部署網路式或主機式 WAF、DAM、IPS、FIM、AV 或 DLP 等方案。某些平台服務廠商會提供一些內建的安全服務，但終端使用者卻無法掌握，也無從選擇。您是否真的能讓應用程式「暴露在外」？

這些問題並非無解，但需要由平台供應商來做。

Chris Hoff 是一位知名的雲端運算熱愛者，他目前正與一個工作小組合作，共同開發一套通用的安全 API 來提供漏洞掃瞄、稽核、組態管理、修補程式管理等等所需的資訊。如果 PaaS 供應商採納了這套名為 A6 的 API (涵蓋了稽核、斷定、評估、確保)，將可提供迫切需要的手動與自動化驗證方法。

趨勢科技榮獲 Everything Channel 的 CRN 線上媒體評選為

推動「雲端安全的核心領導廠商」

【2010 年 2 月 8 日台北訊】趨勢科技榮獲美國 Everything Channel 的 CRN 線上媒體評選為推動 2010 年雲端安全趨勢的 20 家最酷的雲端安全廠商之一。

Everything Channel 的 CRN 指出：「趨勢科技依然是 SaaS 領域的先驅，其 Smart Protection Network™ 主動式雲端截毒技術是今日雲端運算現象的推手之一。該公司最近發表了一套新的 Web Gateway Security 虛擬化網頁閘道安全產品，堂堂邁入虛擬化領域，此外，在進階伺服器安全方面也推出了 Deep Security 7.0，為伺服器的作業系統、網路與應用程式等層面提供全方位的保護，涵蓋實體與虛擬化平台。」

趨勢科技執行長陳怡樺（Eva Chen）表示：「隨著雲端社群不斷成長，趨勢科技也將重心放在雲端安全的創新與成長，讓企業安心地邁向雲端，確保資料安全無虞。我們很高興能成為這群備受尊崇的廠商之一。非常感謝提名我們的評審委員，也感謝 Everything Channel 的 CRN 頒給我們這項榮耀。」

這份名單是由解決方案供應商根據：技術、通路影響力、執行力與曝光率，以及業務與銷售能力等條件提名而來。最終名單則由 Everything Channel 編輯群所組成的評審團決定。

相關優勝者名單請參考 www.Channelweb.com，並且在 1 月 25 日的一期 CRN 有專題報導。

  擴大招募200位科技菁英 開放雲端研發新星計劃廣納人才

【2010 年 2月4日台北訊】全球網路安全領導廠商趨勢科技今日宣布子公司騰雲計算 (TCloud Computing) 正式成立，由趨勢科技全球研發長暨亞太區執行副總裁張偉欽擔任董事長，前趨勢科技全球產品管理副總經理郭登翔擔任執行長。這家由為趨勢科技百分之百持股的子公司將提供建置公有雲 (Public Cloud) 與私有雲 (Private Cloud) 所需的技術開發、系統整合、技術支援、教育訓練、與專業顧問等服務。初期業務範圍將著眼於亞洲電信業者及分布於台灣、大陸、韓國、日本、與東南亞的亞洲區企業用戶，預計兩年內總營收將上看新台幣一億二千萬元。人才招募部分，騰雲計算所需的雲端技術研發人員，將由母公司趨勢科技統籌招募與辦理教育訓練，為此，趨勢科技今年在台灣預計召募200位研發人才，有志投入雲端的技術菁英可得把握。

趨勢科技董事長張明正針對騰雲計算的成立初衷分享道：「雲端科技所帶來的產業革命與效益已開始為歐美諸國架構起下一世代的國家資訊競爭優勢，但反觀包含台灣在內的亞洲地區，在雲端科技上的發展相對落後，若繼續視若無睹，將無法擠入下一輪的資訊國力競技場。因此希望藉由騰雲計算的成立，能夠打破歐美公司在雲端技術的壟斷，借助全球開放原始碼社群的力量，加上自主的研發資源，創造領先的開放性雲端平台，普及雲端科技應用、分享資訊與知識，造福亞洲社會與人群。」

針對騰雲計算的公司定位，騰雲計算執行長郭登翔表示：「騰雲計算將專注扮演雲端科技推動者 (Cloud Technology Enabler ) 的角色， 無論是基礎架構服務化 (IaaS, Infrastructure-as-a-services)、平台服務化 (PaaS, Platform-as-a-services) 、或是軟體服務化 (SaaS, Software-as-a-services)，騰雲計算都會針對目標客戶，提供相對應的技術支援、教育訓練、與專業顧問服務。而未來在事業開發、業務推廣上，騰雲計算則採用以策略客戶為中心的扁平式責任制，並佈署於主要客戶所在的各亞洲中心城市。」

發表者：趨勢科技資料外洩防護小組資深協理 Todd Thiemann

當「Google 攻擊」(一般稱為 Aurora、Google 攻擊或 Hydraq) 和 Gmail 帳號遭到入侵的事件首次爆發時，某些觀察家認為這些新聞有可能將衝擊雲端運算。然而隨著事件的後續進展，大家發現原來只是單純的端點漏洞問題。此處並非要淡化這項攻擊的重要性，只是希望釐清這次的事件並非特殊的雲端安全問題，而是典型的端點安全問題。

趨勢科技已發表了一些實用而且可採取行動的資訊，還有關於 Google 攻擊的細節。我在趨勢科技 TrendLabs 威脅研究團隊的同事已經在其部落格中公佈了許多有關這項漏洞的詳細內容。Microsoft針對這項公開的漏洞以及其他七項私下通報的漏洞發佈了一份緊急修補程式。

如果您是一家企業，並且擔心自己是否正處於危險當中，建議您可以考慮看看趨勢科技提供的 Threat Management Services (TMS) 威脅管理服務。

不論您是否要採用趨勢科技的企業資訊安全產品，TMS 評估服務都能消除您心中的疑惑。如果您是一般消費者，並且擔心家中的個人電腦是否遭到感染，您可以免費下載完整功能的防毒軟體 PC-cillin 2010 試用版，請到這裡費下載，來檢查您的系統。

＊雲端運算安全趨勢＊ 參加Gartner Data Center Conference 資料中心大會感想

作者： 趨勢科技資料外洩防護小組資深協理Todd Thiemann 

我參加了 12 月份在美國拉斯維加斯舉行的 Gartner Data Center Conference (資料中心大會)，希望透過這項活的觀察深入了解企業 IT 專業人員對於虛擬化與雲端運算的看法。 雖然我個人並不喜歡拉斯維加斯，但我還是逛了一下彈珠台迷必到的旅遊勝地：Pinball Hall of Fame (彈珠台名人堂)。從資訊安全的角度來看，Gartner 分析師和與會人員對於雲端運算的態度給了我幾點啟示。

虛擬化正當道：VMware 的課程人數爆滿，大多數關於虛擬化與儲存交換網路的課程也是人潮洶湧。有關虛擬化安全的課程，倒提到了一個重點，那就是：負責應用程式與儲存的 IT 人員與負責資訊安全的 IT 人員彼此之間缺乏聯繫。虛擬化的列車目前正全速向前邁進，但資訊安全團隊卻在後面苦苦追趕，努力研究虛擬化可能帶來的安全問題。舊的邊界安全模型正受到嚴重挑戰，因為透過 VMotion 的技術，應用程式在 VMware 環境當中可以自由移動 (小心別讓一些敏感的應用程式意外掉入 DMZ 區域)。對資訊安全的影響：您最好小心架構您的虛擬化資料中心，並且考慮採用 VLAN 以及分散式虛擬交換器 (Distributed Virtual Switch)。

私人雲端運算是企業的短期因應之道：執行長們的要求是：「利用雲端來降低成本」，而資訊長們的回應則是：「是的，我們已經在做了，那就是所謂的私人雲端」。在 Gartner 這次的活動當中，廠商與 Gartner 分析師的重點大都圍繞在私人雲端運算。對於所謂的私人雲端，不論行銷人員或是正在利用雲端運算概念的企業 IT 人員，每一個人似乎都自己的一套定義。某些正統派雲端人士或許對這樣的情況感到不安，但企業 IT 與廠商正紛紛透過「私人雲端」的概念來趕搭雲端運算的列車。我在 Gartner Data Center Conference 大會上看到的整體趨勢是積極虛擬化的資料中心，不過，如果您跟人家說：「我們已經擁有自己的私人雲端」，那會讓您的企業聽起來似乎更先進一點。