什麼是 BaaS 與 DRaaS ? 4 種方案制定最完整的災難備援策略
2024-10-07
在數位轉型和雲端時代,確保企業資料安全、系統穩定是企業持續經營的關鍵。Backup as a Service (BaaS) 和 Disaster Recovery as a Service (DRaaS) 成為企業資訊系統的核心保障機制,除了基礎的備份機制,也可以選擇確保在發生災難時快速復原。 本篇將探討 BaaS & DRaaS 的差異及具體應用情境、制定您的災難備援策略,並介紹四種備份/備援方式,幫助企業在數位時代保障資料安全和業務連續性。 什麼是 BaaS & DRaaS BaaS-Backup as a Service 是一種基於雲端的「資料備份」服務,讓企業能夠將資料自動備份至雲端儲存系統,而不需自行管理複雜的備份基礎設施。 BaaS 服務提供商負責資料備份的自動化、加密、存儲和管理等,確保資料在發生故障或損毀時可以迅速恢復。 DRaaS-Disaster Recovery as a Service 是一種提供雲端「災難復原」的服務,允許企業在發生重大系統故障(如自然災害、系統錯誤、網路攻擊)時,快速恢復並啟動備援系統以確保業務連續運作。 DRaaS 的核心在於將關鍵應用和數據的副本持續同步到雲端,在災難發生時自動切換到備援環境。 BaaS 和 DRaaS 的差異與應用 BaaS DRaaS 專注於資料的備份和還原,適用於日常資料保護和防止資料丟失的情況。 涵蓋了更廣泛的災難情境,除了資料備份外,還包括系統和應用的即時復原, 適用於需要在災難(如自然災害、網路攻擊)後迅速恢復業務,保障整個業務流程的連續性的情況。 這兩種服務相輔相成,企業可以透過 BaaS 確保資料安全,並在突發情況下透過 DRaaS 快速啟動完整系統,降低業務中斷的風險。 制定您的災難復原策略 在制定災難復原策略前,您需先釐清的網頁、應用程式以及資料的還原時間目標(RTO)和還原點目標(RPO)。 RTO 和 RPO 是什麼? 圖/AWS 官網。 復原點目標 Recovery Point Objective (RPO) 定義在災難發生後可接受的資料丟失量,與備份頻率密切相關。RPO 越短,備份次數越頻繁,丟失的資料越少。 復原時間點目標Recovery Time Objective ( RTO ) 指系統從災難中恢復並重新運行所需的時間。短 RTO 能夠讓企業更快恢復正常運作,是設計災難復原計劃的重要指標。 簡而言之,RPO (Recovery Point Objective) 關注的是「資料量」,而 RTO (Recovery Time Objective) 則專注於「復原所需的時間」。AWS 針對企業不同的業務需求、預算以及可容忍的停機時間,提供了 4 種靈活的災難備援策略,確保在發生意外時,企業能根據自身的優先級和容忍度選擇最適合的解決方案。 AWS 的四大災難備援策略 圖/AWS 官網。 Backup and restore-備份與還原 為最基本的備份策略,定期對系統和數據進行備份,發生故障時進行手動恢復。 此選項具有較高的 RPO 和 RTO,適用於不需要即時恢復的非關鍵應用。 Pilot light-指示燈 將核心系統最小化地維持在備援環境中,僅在災難發生時才啟動完整系統。 Pilot Light 提供中等的 RPO 和 RTO,是相對經濟的災難復原方案。 Warm standby-暖待命 保持一個精簡版本的系統長期在線,可在災難發生時迅速擴展為完整運作狀態。 Warm Standby 具備更短的 RPO 和 RTO,是兼顧成本和復原速度的折衷方案。 Multi-site or active/active-多站點主動/主動 所有系統在多個站點同步運作,任何一方發生故障時,其他站點可無縫承接工作。 這是 RPO 和 RTO 最短的方案,能確保業務零中斷運行,但也伴隨較高的成本。 決定您的備份/備援方式 綜上所述,企業可根據內部數據特性與需求,評估並制定合適的備份與備援策略。那麼有哪些工具可以幫助我們有效實現這些策略呢?以下整理幾種雲端備份服務,助您輕鬆實現自動化的資料備援! AWS Backup AWS Backup 是一個集中化、全自動化的雲端備份服務,用於保護 AWS 資源如 Amazon EC2、RDS、EFS 等。它讓企業能簡單設定備份策略,確保資料在需要時可快速恢復,增強資料保護與合規性。 AWS Backup 透過設定備份策略,自動化執行備份並將資料安全地儲存在雲端。它支援多種 AWS 服務的備份,並可進行加密、跨區域備份,當需要恢復時,可快速還原到指定的時間點。 Veeam Backup Veeam 提供強大而靈活的資料備份和復原工具,支持多雲環境、虛擬機器、本地數據中心等。Veeam 的平台集成度高,操作簡便,能大幅減少備份與復原的時間與複雜度。 Veeam & AWS 整合 Veeam 可與 AWS 的備援方案無縫整合,實現自動化備份、快速恢復和多層次資料保護,適應不同企業規模和需求,提升 IT 基礎設施的彈性和安全性。 延伸閱讀:新時代資料保護!如何借助 Veeam 與 Amazon S3 完善備份備援策略 AWS DRS AWS Elastic Disaster Recovery 是一項提供簡化、經濟且高效的災難復原解決方案。AWS DRS 可將企業的 IT 系統和應用程式快速恢復至 AWS 雲端,確保業務連續性。 AWS DRS 將關鍵應用持續複製到 AWS 雲端並進行持續監控,一旦本地系統出現故障,AWS DRS 可自動啟動雲端副本,並在數分鐘內恢復完整運行。 在數位時代,確保資料安全與業務連續性是企業的生存之道。透過 BaaS 和 DRaaS 的雙重保障,結合 Veeam 的備份技術、AWS Backup 和 AWS DRS 等彈性雲端資料復原方案,企業可以有效降低風險,確保在各種突發情況下依然穩步前行。CKmates 針對資料保護提供顧問級的整體服務,確保企業享有最適切的解決方案,提供包含資料存取、備份備援以及災難備援等一站式資料管理策略,同時保護企業重要資料的合規性,想了解更多災難備援資訊,請即刻與您的雲端數位長 CKmates 聯繫。
企業導入 ISO 27001 (ISMS) 關鍵指引!AWS 資安服務讓你放心符合安全架構
2024-09-02
隨著企業數位化觀念普及的時代,企業將越來越多的資訊系統遷移至雲端,資訊安全的重要性已越趨重要,然而,資訊安全風險也隨之增加。ISO/IEC 27001:2022 作為國際知名的資訊安全管理系統標準,提供了一個全面的框架,協助組織建立、實施、維護並持續改善資訊安全管理,當企業通過了 ISO 27001 的認證,就代表企業的資訊安全管理已經建立了一套有效的管理體系作為保障。而 AWS 作為全球領先的雲端服務供應商,如何透過完整的資安服務,讓企業能更輕鬆達到對於雲端資訊安全的要求,確保運營的穩定性和合規性。 ISO/IEC 27001:2022 組織控制措施中,其中針對雲端服務已特別列出項目,5.23 「使用雲服務之資訊安全」 (Information Security for use of Cloud Services ) 。控制措施:宜依組織之資訊安全要求事項,建立獲取、使用、管理及退出雲端服務的過程。 。目的:規定並管理使用雲端服務之資訊安全性 。指引與實務做法:企業組織應與雲服務供應商合作,以公司規範為主軸搭配已使用的框架來制定使用雲服務之相關政策,以及明確討論安全風險的評估,進行相關風險評鑑。滿足數據保護、身份和訪問管理、日誌記錄和監控、基礎設施安全、配置和漏洞分析的合規性需求等等,以及利用有效的資安防護,依照資安事件通報處理流程或是進行資料備份及還原作業等。 5 大 AWS 資安服務 以 AWS 提供的資安服務,區分五大類來進行安全、身分及合規性的服務提供。 1.身分與存取管理 AWS Identity Services 可協助您安全地大規模管理身分、資源和許可。利用 AWS 的管理,您的人力及面對客戶應用程式的身分服務可快速展開,並可管理工作負載和應用程式的存取。例如以 IAM 來精細控制誰可以訪問哪些資源,確保只有授權人員能夠接觸敏感數據。 2.偵測與回應 AWS 偵測與回應服務會持續識別安全風險並排定優先順序,同時在開發生命週期的早期整合安全實務,藉此協助您強化整個 AWS 環境的安全狀態並精簡安全操作。例如以 AWS CloudTrail 來記錄和監控所有的資源變更,確保符合性和透明度,或是 Amazon GuardDuty 持續監控其 AWS 環境中的惡意活動和未經授權的行為。 3.資料保護 AWS 可協助您保護資料、帳戶和工作負載免受未經授權的存取。AWS 資料保護服務提供加密功能、金鑰管理和敏感資料探索,以協助您保護資料和工作負載。例如以 AWS Key Management Service (KMS) 服務來管理加密密鑰,確保數據在雲端中的安全性。 4.合規 AWS 為您提供合規狀態的全面檢視,您也可以使用自動化的合規檢查,根據組織遵循的 AWS 最佳實務和產業標準,持續監控您的運作環境。 5.網路與應用程式保護 AWS 網路與應用程式保護服務可協助您在組織範圍內的網路控制點強制執行精細的安全政策。AWS 服務可協助您檢查和篩選流量,以防止在主機、網路和應用程式層級邊界進行未經授權的資源存取。 搭配使用 AWS 資安服務來實施 ISO/IEC 27001:2022 中 5.23 條款的控制措施,不僅能簡化合規過程,還能顯著降低我們的風險與管理成本。AWS 提供的資安解決方案已經被廣泛驗證,不僅符合國際標準,更有即時更新與自動化的管理功能,能夠大幅減少我們自行部署的複雜性與人力投入,不但能符合 ISO 制定規範,亦能保護其雲端資產的機密性、完整性與可用性。 CKmates 銓鍇國際具備專業資安團隊,我們提供 7X24 資安監控,並定期進行 AWS 架構健診服務,提供優化報告與改善建議,是您的最佳資安守門員!歡迎聯絡我們。
「開箱即用」AWS AI Solution Kit:告別繁瑣實體資料,AI 發票、表單、文件辨識處理自動化!
2024-08-06
您的企業是否還在為堆積如山的紙本文件感到困擾?員工是否疲於應付繁瑣的文件處理工作,導致效率低下?傳統紙本文件處理,不僅耗時費力,更可能因人為疏失導致錯誤,成為企業數位轉型的一大絆腳石。CKmates 將介紹如何運用 AI 技術,自動掃描辨識資料轉換成數位檔案,並連結至您的自有軟體,簡化時間以及人工成本。 什麼是 AI Solution Kit? AI Solution Kit 是 AWS 針對 AI 技術所提供的開箱即用整合解決方案,其中包含光學字元辨識 (OCR)、圖像理解、自然語言理解 (NLU)、人臉檢測等。 以上功能皆為「開箱即用」,可透過 Amazon API Gateway 自動創建 RESTful API,您可以依照所需要的解決方案內容,選取需要的 AI 模型,若有不同的需求也可以進行客製化靈活調整。 此次我們需要使用到的內容為光學字元辨識 (OCR),以下將詳細講解其用作內容以及。 圖/AI Solution Kit提供各式與影像辨識有關的商業應用,皆為隨需啟用! 什麼是 OCR (光學字元辨識) OCR 技術是將圖像或掃描文件中的文字轉換為可編輯、搜尋的數位格式的關鍵。AWS AI Solution Kit 提供多種 OCR 引擎,將文件轉換為機器可讀取的數位化檔案,高階 OCR 模型可支援簡體中文、繁體中文、越南文、日文、韓文、英文等多種語言,以及數字、字母和符號的辨識,客製化 OCR 模型可依據特定格式文件(如發票、表單)建立模板,提升客製化辨識效率。此方法可以運用於各產業,如醫療業者可運用 OCR 處理患者紀錄,簡化醫院手動工作;又如銀行業者可以運用 OCR 技術處理借貸文件等,除了降低出錯率,借數位化並增強交易安全性。 AWS AI Solution Kit 與 OCR 運作方式 AWS AI Solution Kit 透過電腦視覺技術分析文件圖像,精準辨識表格結構,如邊框、線條與儲存格。結合機器學習模型,從大量數據中學習,大幅提升辨識的準確性。辨識表格後,AWS AI Solution Kit 進一步分析其結構: 列與欄的偵測:找出水平與垂直線條,精確定位列與欄。 儲存格的分割:將表格分割為獨立儲存格,並判斷合併情況。 表格關係的建立:理解儲存格間的關係,如哪些儲存格屬於同一表頭。 接著,AWS AI Solution Kit 的 OCR 引擎辨識每個儲存格的文字內容,並將文字與對應的儲存格關聯。最後,AWS AI Solution Kit 將辨識出的表格及欄位資料轉換為結構化且易讀的 JSON 格式,方便後續的資料處理與分析。 圖/企業的各式紙本資料,可透過AI Solution Kit的OCR技術數位化, 針對轉換為JSON格式供自有系統介接。 此次商業應用演示為企業經典的發票報銷自動化流程,雲端架構為經典的無伺服器 ML 架構,透過 AWS AI Solution Kit 進行資料萃取後,使用 Amazon Bedrock 進行大語言模型的分析後,歸檔進入企業用的資料庫。此架構將運用 AWS API Gateway 以及 AWS Lambda 的無伺服器架構,結合 Amazon Sagemaker 的 AI 模型託管能力執行影像辨識模型的運作,並整合 Amazon Bedrock 強大的 AI 分析能力對發票影像辨識的結果做格式化的整理後,輸入至企業資料庫以利後續企業商業流程。 圖/此次範例所使用的企業報帳用發票明細。 如上圖,此次所使用的無伺服器以及 Amazon SageMaker 託管模型架構,其中Amaon API Gateway 作為端點可介接企業自有軟體,AWS Lambda 可串接模型功能與自有商業邏輯,Sagemaker 託管AI影像辨識用所需之AI模型,並且運用Bedrock進行AI 大語言模型的文本處理、分析及格式化。 AWS CloudFormation 將基礎設施視為程式碼,可讓您對 AWS 和第三方資源進行建模、佈建和管理。透過 CloudFormation,使用者可以迅速部署 AI Solution Kit 解決方案架構。 透過程式化 API 串接後,取得該發票的影像辨識結果。 透過 Amazon Bedrock,可以有效分析與整理此發票的內容成為指定格式。 將最終的資料放入企業資料庫,作為後續商業應用。 綜上範例,我們可以看到透過 AWS AI Solution Kit,可以大幅提高實體紙本至數位化商業應用的效率與精準度。此解決方案不僅簡化了紙本資料處理流程,因為採用了AWS Lambda 等無伺服器服務,企業無需管理基礎設施,可專注於業務邏輯的開發,更透過機器學習模型實現了高度自動化,快速將紙本資料轉換為有用資訊,減少了人為錯誤的風險,加速數據分析與決策! 銓鍇國際 CKmates:您企業數位轉型的最佳夥伴,引領您邁向智能未來 CKmates 助您運用雲端技術,節省成本,我們提供全天候的雲端專業服務,並提供完整的企業資料治理及資料處理解決方案,結合 AWS AI Solution Kit 的強大功能,幫助您成功實現 AI 時代的企業數位轉型,引領您邁向智能未來! AWS AI 服務系列專欄: 運用 AWS 打造生成式 AI !多元產業應用指南 電商必備 AI 行銷神器!如何運用 Amazon Personalize 黏住客戶、提升業績 ChatGPT 最強大的競爭對手 - Claude 2.1 現已被 Amazon Bedrock 支援 打造最了解您的企業級生成式 AI 助理!Amazon Q 使用指南
打造最了解您的企業級生成式 AI 助理!Amazon Q 使用指南
2024-07-01
近兩年開始生成式 AI 蓬勃發展,許多相關應用紛紛出籠,AWS也順勢推出了他們個人的生成式 AI 平台 Amazon Bedrock,使用者可以根據選擇不同應用場景選擇最適合他們的大語言模型進行相對應的文字及圖片生成。但終端使用者更希望的是企業來協助他們打造出一個更貼近他們需求以及懂相關特定領域的個人 AI 助理,同時也必須要符合資安和合規要求。AWS 在今年( 2024年)四月正式對外宣布企業級生成式 AI 助理 Amazon Q 已經可供使用。本篇我們將探討 Amazon Q 如何協助使用者提升工作的效能。 什麼是Amazon Q? Amazon Q 是一款創新的 AI 助理,專為企業量身打造。它能夠連接到您公司的各種資源,包括資料庫、程式碼、數據和企業系統。透過與 Amazon Q 對話,您可以輕鬆解決問題、生成內容、獲取洞見,並採取相對應的行動。 Amazon Q 為員工提供即時且相關的資訊和建議,大大提高了工作效率。它不僅能簡化日常任務,還能加速決策過程,幫助解決複雜問題。更重要的是,Amazon Q 有助於激發員工的創造力,為企業帶來創新動力。無論是日常工作還是重要決策,Amazon Q 都能為您提供強大的支援,讓您的工作更加智慧、高效。 Amazon Q 能夠依據您企業現有的身份認證系統、角色劃分和權限設置,為每位用戶提供個性化的互動體驗。最重要的是,AWS 高度重視您的資料安全和隱私。AWS 承諾絕不會使用您在 Amazon Q 中的任何客戶內容來訓練其底層模型。這代表您的公司資訊始終保持安全和私密,讓您可以放心使用這一強大的 AI 助理。 Amazon Q 在 AWS 介面上無所不在,打造 AI 全面體驗 為了更大力地來推廣,AWS 開始將許多 AWS 原生的服務整合 Amazon Q,這邊整理如下 1. AWS Console右側 當您登入至 AWS Console 時,在右側就有 Amazon Q 的身影,您可以詢問它關於 AWS 相關的問題,如果問超出這個範圍之外的問題,它也不會隨意回答,只會回覆您他不知道或是非 AWS 服務範圍的問題它也不會亂產生回答。 2. Amazon Q Business 跟一般常見的網頁生成式 AI 工具相同,Amazon Q 也是透過了網頁提供使用者使用,當你問他問題時他回答的範圍只會是您提供給他的資料,並不會有一般生成式 AI 一本正經胡說八道的狀況發生。 除了串接上述資料來源之外,您還可以串接企業系統,包括 ServiceNow、Jira、Salesforce 和 Zendesk。外掛程式使 Amazon Q 能夠執行使用者請求的任務,例如建立支援工單或分析銷售預測。 3. Amazon Q Developer Amazon Q Developer 除了可以列出 AWS CLI 語法之外,更可以與 AWS CodeWhiperer 結合使用,如果您的程式碼是比較舊的版本,Amazon Q Developer 會協助您列出可以修改的程式碼,並提供修改範例供您參考,讓程式碼現代化的工作負擔大大降低。 4. Amazon Quicksight 生成式 BI Amazon Quicksight 生成式 BI 也是透過整合 Amazon Q 的技術透過自然語言搜尋在 BI 報表裡面的一些商業洞見,詳細的介紹可以參考: AI 賦能時代下的 Amazon Quicksight 生成式 BI 解決方案 Amazon Q 該如何串接到公司的資料來源?能串接那些資料來源? 您除了可以透過將公司資料上傳到 Amazon S3、網頁爬蟲或是直接上傳檔案,Amazon Q 也支援相當多的第三方來源,例如:Dropbox、Google drive、Onedrive 等資料來源。 Amazon Q 使您在享受 AI 的便利之下還能保持高安全性及合規性 許多企業在享受生成式 AI 助理的同時也會擔心內部機敏資料外洩,Amazon Q 提供了多層次的控制選項,讓您能夠靈活管理系統的回應方式: 全局控制(Global control) 您可以設定系統是否僅使用大型語言模型(LLM)生成回應,或是從已連接的資料來源中取得訊息。這代表您可以選擇是否只使用企業內部資料來回答問題,或在找不到答案時允許 LLM 生成回應。此外,您還可以設置特定詞彙,例如:成人字眼、暴力、種族歧視等字眼的屏蔽功能。 主題級別控制(Topic-level Control) 針對特定主題,您可以制定更精細的規則。例如,您可以設置某些受限主題,並為這些主題配置特定的行為規則。這些規則可以包括只使用企業數據回答相關問題,或者完全阻止系統對某些主題作出回應。 透過這些靈活的控制選項,您可以確保 Amazon Q 的回應始終符合您的企業政策和安全要求,同時最大化其實用性。無論是保護敏感訊息,還是確保回答的準確性,這些功能都能幫助您打造一個既智能又安全的 AI 助理系統。 一年一度的盛事,2024 AWS 台灣雲端高峰會,將於 7 月 23 日和 24 日在台北國際會議中心隆重舉行。本屆高峰會特設生成式 AI 專區,將展示 AWS 在生成式 AI 領域的最新突破,包括創新的 Amazon Bedrock 服務以及上述為您介紹的 Amazon Q 最新服務,不僅能深入了解 AWS 的先進 AI 技術,並通過互動展區親自體驗多元的 AI 應用。更多活動內容:https://pse.is/6576c5 AWS AI 服務系列專欄: 運用 AWS 打造生成式 AI !多元產業應用指南 電商必備 AI 行銷神器!如何運用 Amazon Personalize 黏住客戶、提升業績 ChatGPT 最強大的競爭對手 - Claude 2.1 現已被 Amazon Bedrock 支援
如何應對 VMware 改訂閱制?「搬遷上雲」成企業解方
2024-05-22
在2023年年底Broadcom併購VMware後, 日前 Broadcom 再度宣布決定將VMware 的授權模式從永久授權轉變為訂閱制。這一轉變對於地端使用 VMware 的用戶造成影響,據美國 NAND Research 研究機構分析報告指出,VMware 更改為訂閱制,長期來看,可能會使企業整體 IT 支出增加,使企業重新評估其 IT 資本支出和基礎設施策略,而「上雲」也成為企業的解方之一。 Broadcom 併購 VMware 後,決定將 VMware 旗下的產品改為訂閱制,並且將授權合併成為VMware Cloud Foundation (VCF)、VMware vSphere Foundation (VVF)兩大核心產品,其他產品須以額外訂閱的方式購買。這代表著過去企業一次性購買永久授權的方式將不再適用。 新的授權模式規定,最低須購買 16 Core 的授權,這對許多中小型企業來說,有可能導致成本上升,使企業重新評估其 IT 資本支出和基礎設施策略,如轉換使用其他地端虛擬化平台,或將地端機房部署在公有雲上,不僅能幫助企業降低成本,還能提供更多的靈活性和擴展性。 AWS 三步驟助地端 VMware 客戶搬遷上雲 面對 VMware 銷售模式改變,將地端機房搬遷至 Amazon Web Services(AWS)成為一個非常具有吸引力的選擇,同時也實現了數位轉型。而在整個遷移過程中,找到一個可靠的合作夥伴至關重要。CKmates 作為 AWS 的 Migration Competency 合作夥伴,擁有豐富的國內外搬遷經驗和專業知識,能夠全程協助企業完成地端機房的雲端遷移。我們設計三個步驟來幫助企業完成雲端遷移,確保他們能夠順利地從地端機房搬遷至雲端,並充分享受到雲端所帶來的優勢。 前期評估(Assessment) 在這個階段,CKmates 會與企業合作,深入了解其現有的 IT 基礎設施和應用需求。通過詳細的評估,我們能夠幫助企業確定哪些應用和工作負載最適合搬遷至雲端,並選定在雲端上會使用到的服務規格、提供相應的總持有成本(TCO)和遷移建議。客戶或是合作夥伴可以透過 AWS Cloud Adoption Framework(AWS CAF) 架構並使用 AWS Cloud Readiness Assessment (AWS CRA) 工具來評估可遷移上雲的資源是否準備完成。 正式搬遷(Mobilize) 一旦完成前期評估並確定了遷移策略,我們將協助企業進行實際的搬遷過程。這包括數據遷移、應用程序部署和系統配置等。在這個階段,會確保所有系統在雲端能夠正常運行,並且對應的性能和安全性得到保障。 如果是 VMware 的服務可以透過 Application Migration Service (AWS MGN) 進行抄寫並搬遷上雲。或是透過 AWS VM import 的方式透過匯出成 OVA(OVA/OVF) 檔匯入到 AWS 上。在搬遷的過程當中,如果不想走公有網路進行傳輸,可以建議拉 AWS Site to Site VPN 或是 Direct Connect 走加密連線傳輸上 AWS,提升網路傳輸安全度。 架構優化(Modernize) 遷移完成後,CKmates 並不會止步於此。為了確保企業能夠充分享受雲端的優勢,我們會進一步優化其雲端架構。這包括性能優化、成本管理和安全性加強等。例如:使用 AWS 上的託管式服務,讓管理的效率更加提升、啟用 AWS 上資安服務提升網路安全性,透過持續的優化,企業能夠最大化雲端投資的回報。 CKmates:您的 AWS Migration 合作夥伴 在這個快速變化的數位時代,雲端遷移無疑是企業保持競爭力的關鍵。遷移至雲端不僅僅是技術上的改變,更是企業業務模式和工作流程的全面升級。企業可實現更高的靈活性和敏捷性,快速應對市場變化,降低運營成本,提升業務效率。此外,雲端還提供了全面的資安防護和資料備份功能,保護企業的核心資料不受各種威脅。 CKmates 提供經認證的遷移步驟,並擁有專業團隊技術能力以及豐富的遷移經驗,使企業可以更輕鬆地實現數位轉型,享受到雲端技術帶來的多重優勢。無論是初次遷移還是雲端架構的優化,我們都能提供全方位的支持,確保遷移過程順利進行。在遷移過程中,CKmates 將會與您的團隊密切合作,提供詳細的技術支持,幫助員工熟悉新的系統和工作流程。想知道更多雲端遷移的內容,歡迎聯絡您的雲端數位長 CKmates。 作者: CKmates AWS Ambassador Tony Chung 雲端遷移系列專欄: 雲端遷移策略解密! 4 種雲端服務有效取代地端機器 【雲端遷移專欄 I】Why migrate to the AWS Cloud? 【雲端遷移專欄 II】想要雲端遷移?資深雲端架構師親自傳授遷移心法 【雲端遷移專欄 III】影響雲端遷移成功的關鍵因子:「評估策略」與「完善計畫」 【雲端遷移專欄 IV】善用 AWS 原生遷移工具 使雲端遷移事半功倍
運用 AWS 三大資安功能 打造零信任雲端架構
2024-04-30
作者: CKmates AWS Ambassador Tony Chung 在去年 9 月中華民國數位發展部對外發布了,導入零信任身分驗證的架構,也因為目前地緣政治的影響及數位轉型的浪潮逐漸地從企業端推向了公部門的非核心系統。雖然上雲是一個趨勢,但如何打造零信任的安全雲端架構絕對是評估的重點。本篇文章,將帶您探討除了一般雲端的資安基礎設定之外,還能透過什麼 AWS 的服務及應用能夠達成雲端零信任。 什麼是零信任?為什麼要做? 在過往的公司網路環境中,通常都會將辦公環境切分為不對外的內網、一般辦公區域以及對外聯網的 DMZ (非軍事區域)。零信任(Zero Trust)其實指的是一種資安概念,「永不信任,永遠驗證」是零信任的口號,實際上的意思是指要打破過往的內外網隔離機制,任何的存取都要經過驗證、加密以及授權之後才給予人員或是服務存取權。 會催生零信任架構主要有以下三個原因: 1.遠端辦公的人數越來越多 因為前幾年疫情的關係,所以為了保持企業營運不中斷,許多遠端辦公的需求也大量增加,一般公司通常會將只能在公司內部瀏覽的檔案或系統放在內網,在外部辦公的同事透過遠端連線 VPN 的形式連回公司進行資料存取。 然而,VPN也有幾項的資安風險,因為通常經過帳號密碼驗證過後的使用者都會被賦予最大權限,所以駭客可以透過有漏洞的憑證或是VPN軟體入侵至企業內部網路。入侵網路後因為權限太大所以能夠任意瀏覽相關機敏資訊。 2.資安及合規需求不斷變化 隨著科技的進步,資安威脅也日益複雜。駭客的手法不斷進化,傳統的資安防護措施已經無法有效抵禦攻擊。零信任架構可以提供更強大的資安防護,以因應不斷變化的資安威脅。 零信任架構可以幫助企業滿足以下資安及合規需求: 保護敏感資料:零信任架構可以透過最小權限原則和持續驗證來保護敏感資料。 降低資料外洩風險:零信任架構可以減少資料外洩的風險,因為駭客即使取得了使用者的憑證,也無法存取敏感資料。 滿足法規要求:零信任架構可以幫助企業滿足各種法規要求,例如《通用資料保護規範》(GDPR)。 3.需要更精細的權限控制 傳統的安全模式通常會將使用者劃分為幾個大類,並賦予每個類別相應的權限。然而,在實際應用中,這種粗粒度的權限管理可能會導致安全漏洞和資源浪費。零信任架構通常採用更細緻的權限控制,將每個使用者或設備的訪問權限細分到最小單位,根據需要動態調整。這樣做不僅可以降低潛在的風險,還可以最大程度地提高資源利用率,從而使企業更具彈性和效率。 三大 AWS 資安神器,帶您佈建端到端零信任架構 在這個段落中我們將分為三個部分,在外部工作的人要存取服務、服務之間存取以及開放給外部系統存取如何做到零信任: 1.外部工作的人要存取服務 因為疫情大多數的員工都有遠端辦公的需求,目前大部分的公司都是透過遠端 VPN 連線的方式回到公司環境來使用服務,但大部分的員工常常會覺得很麻煩且前面提到可能有資安的風險。 取而代之的是使用 AWS Verified Access (AVA)來達到身分驗證的功能,讓公司的應用程式能夠被安全存取。Verified Access 透過 Cedar 語言來定義那些人/部門能夠存取哪些服務,它透過跟 IAM Identity Center 或是整合基於 SAML 的第三方身分提供者(IdP)進行身分驗證。另外它也可以跟AWS WAF搭配使用做到更進一步的防護,並且您可以將相關存取的 log 集中儲存到 S3 以供事後查找。 2.服務與服務之間存取 當公司規模越來越大或是當公司專案被拆分成不同的帳號,以及 VPC 有時候會遇到需要跨 VPC 存取共用資源或是以服務拆分為不同帳號的情況,以一般的做法來說會透過 VPC Peering 或是 Transit Gateway 進行串接。 大致上這個做法是符合 AWS Best Practice 的,不過為了達到零信任,AWS 推出了 AWS Lattice,透過 AWS Lattice 管理者可以建立統一的應用程式連網服務,您可以定義流量管理、網路存取和監控策略,從而跨 AWS 運算服務(instance、Container和Serverless Lambda)以簡單、一致的方式連接應用程式。 另外,AWS Lattice 可以做更精細的控制,包含服務之間的 request 等級的路由或是藍綠部署、金絲雀部屬的權重路由。您更可以進一步地透過 Lattice 來進行連線的除錯或是找出更詳細的資訊,例如:流量、requset 種類、回應時間等。 3.開放給外部系統存取 有時候您在 AWS 上面的服務必須開放給外部系統存取,一般可以透過 AWS存 取機制,或是透過程式控制外部的服務能夠存取什麼樣的服務。為了達到零信任,AWS 推出了 AWS Verified Permissions 服務,跟 Verified Access 相同,管理員可以透過 Cedar 語言來決定外部服務存取權限的細粒度控制,它最特別的部分是它的授權是與商業邏輯脫鉤的,也就是說在程式開發階段只需專注於服務的研發,關於權限設定就交給 Verified Permissions 來處理。 更好的是 AWS Verified Permissions 原生就支援 log 儲存機制,您可以透過 log 找出以下事項 • 記錄所有相依性的可用性和延遲 • 細分每個呼叫、每個資源、每個狀態代碼等的相依性指標 • 存取記憶體佇列時記錄它們 • 為每個錯誤原因增加一個額外的計數器 • 依原因分類組織錯誤 • 記錄有關工作單元的重要中繼資料 • 記錄追蹤 ID 並將其傳播到後端呼叫中 • 根據狀態代碼和大小記錄不同的延遲指標 本文介紹了三大 AWS 零信任神器 - AWS Verified Access、AWS Verified Permissions 和 AWS Lattice,這些服務可以有效實現對使用者、裝置和工作負載的嚴格驗證與授權控制。通過這些功能,企業可以大幅提升自身的網路安全性,並滿足各類合規要求。 然而,要真正落地零信任架構並非易事,需要對整個IT基礎設施進行深入分析與精心設計。如果您的組織對此感到力不從心,不妨聯繫 CKmates。作為 AWS 合作夥伴,我們擁有豐富的零信任實施經驗,能夠為您的企業提供全方位的諮詢與服務支援,助您更快、更安全地邁向零信任時代。
電商必備 AI 行銷神器!如何運用 Amazon Personalize 黏住客戶、提升業績
2024-04-02
在人工智慧(AI)技術的推動下,顧客個人化體驗已成為企業不可或缺的競爭策略。Amazon Personalize 是 Amazon Web Service(AWS)所推出的機器學習服務,協助企業輕鬆打造顧客個人化體驗,其核心技術採用與 Amazon.com 世界第一大電商品牌同樣的技術,可幫助企業根據顧客的個人資料、行為和偏好,提供高度個人化的產品和服務推薦引擎。 圖/Amazon.com 所提供的電子商務服務。 圖/Amazon.com 的商品個人化推薦頁面。 Amazon Personalize 使用情境 Amazon.com 是亞馬遜旗下的全球最大電商平台,其成功很大程度上可以歸功於其對顧客個人化體驗的重視,從亞馬遜的網站和應用程式上就可以發現他們廣泛使用 Personalize 相關的技術,例如在產品頁面下方,Amazon.com 會根據會員的性別、國別、年齡、瀏覽和購買歷史,推薦可能感興趣的產品。此外,Amazon Prime Video(串流影音平台)也使用了相同的技術,可以從顧客的觀看紀錄分析,並推薦使用者有可能會有興趣的電影或影集,有助於提高訂閱率、留客率、顧客滿意度和品牌忠誠度。 圖/Amazon Prime Video 的影片推薦首頁。 Amazon Personalize 使用各式各樣的機器學習演算法,透過歷史資料進行訓練並找出資料之間相關聯的模式,來預測用戶可能感興趣的項目,讓系統能夠輕鬆地為其應用程式建立個別化的建議,幫助吸引更多潛在客戶並使客戶更輕鬆地找到他們感興趣的內容,常見使用案例如”您可能也會喜歡的產品…” 、”經常與此產品一起購買的產品…” 、”其他客戶也買了什麼…” 。 圖/Amazon Personalize 流程概念。 Amazon Personalize 如何訓練? Amazon Personalize 使用機器學習來分析用戶資料並找出模式,然後使用這些模式來預測用戶可能感興趣的項目,機器學習訓練資料的準備、訓練及使用步驟可簡單概括為以下三個階段: 數據整理 此階段的目的是準備機器學習模型所需的訓練資料。這包括收集使用者、項目和互動資料、清理資料、及提取資料中重要的特徵,用於訓練的資料種類如下: 使用者資料:包括使用者ID、年齡、地區、興趣、偏好等。 產品資料:包括產品ID、描述、屬性、價格等。 互動資料:包括使用者與產品之間的瀏覽、點擊資訊、購買等互動行為。 圖/範例訓練資料格式。 模型訓練 此階段使用前項所整理的數據進行訓練以建立機器學習模型。Amazon Personalize 提供了多種推薦模型演算法可供使用: 推薦模型:根據使用者瀏覽數據,預測其可能會喜歡的項目。 排名模型:用於對項目進行排序,以便向使用者推薦最相關的項目。 項目相關性模型:從瀏覽的商品分類,推薦使用者可能也會喜歡的其他產品。 圖/根據商務需求,可以選擇使用者推薦/排名推薦/相關產品推薦等機器學習演算法。 部署和推論 此階段將訓練好的模型部署到雲端受管的推論主機,以向最終用戶提供個性化的推薦,主要有兩種部署方式。 批次部署:定期更新模型,並向所有使用者推送新的推薦(每次推薦的時間較久,不適合結合應用程式使用,但僅按次數收費)。 即時部署:在雲端建置 API 節點,在使用者每次瀏覽或互動時,實時生成相關推薦(可整合應用系統即時推薦,但有固定端點費)。 圖/Personalize 的推薦 API 程式化推薦結果(左)、渲染成使用者網頁的推薦結果(右)。 在 AWS 上建置 Personalize 個性化推薦系統的優勢,儘管您沒有機器學習相關專業知識背景, AWS 提供預建模型和工具,可助您快速建立和部署推薦系統,且由 AWS 所托管的雲端基礎設施,可為您的系統提供強大的運算能力和儲存容量,無需擔心基礎設施的管理和維護,能全心專注於創造商務方面的價值! 想了解更多如何運用 Amazon Personalize 創造更多業績?立即聯繫您的雲端數位長銓鍇國際 CKmates ,帶您成功實現 AI 時代的企業數位轉型!
異地備援是什麼?「備援」和「備份」有什麼不同?
2024-03-01
面對日益複雜的數位環境,服務的可用性與資料保護的需求也隨之增加,當萬一發生不可抗力的天然災害或是人為影響(如駭客攻擊),導致服務以及公司資料因非預期因素中斷、無法使用時,此時「備份備援」便成為企業保護資料以及確保業務連續的關鍵策略。 何謂備份、備援以及異地備援? 備份是把資料或系統另存於其他位置或設備,包含即時備份及時間差備份,通常建議遵循「備份 321 原則」,就是指至少擁有 3 份資料備份、並存放在 2 種儲存介質、至少異地儲存 1 份;備援則是指當遇到非預期的服務中斷,可以透過替代的方案讓企業維持服務的可用性,即指恢復系統運作的規劃。 因此備份與備援往往都是一起執行,進而做到企業的災難備援策略。而異地備援就是個很重要的資訊安全策略,透過地理上的分隔來建立備用環境與設備,有助於降低將服務、設備放在一起的風險,這時常見的解決辦法就是透過雲端來進行災難復原,降低重要資料以及服務因天災或人為而受到的影響。 備份備援策略要點 那麼該如何規劃自己的備份備援策略?可以從兩個重要指標來判斷「復原點目標」(RPO)和「復原時間目標」(RTO)。RPO 衡量企業能夠接受多少資料損失,而 RTO 則定義了服務中斷後恢復到正常運作所需的時間。透過備份和備援,企業可以將 RPO 和 RTO 的數值降至最低,從而減少潛在的資料損失和避免服務中斷。 此外企業也需要考慮裝置服務需要使用第幾層級的備份策略,企業可透過彈性的方式來規劃策略,有效地降低相關的成本。 AWS 提供了多種異地備援策略,確保企業的資料及服務在面臨災難及故障時能夠持續運作,以地端資源異地備援為例,可以透過 AWS Elastic Disaster Recovery 來規劃備援機制,當災難發生時,可以透過啟用雲端資源及服務,讓企業本遭中斷的服務在最短時間內恢復其服務的可用性。 AWS Elastic Disaster Recovery AWS Elastic Disaster Recovery(AWS DRS,彈性災難恢復)為災難復原服務,與傳統企業內部部署災難復原不同,它節省了以往在維護階段時,企業所需要花費機房設備環境、系統授權、人力資源等相關費用,使用 AWS DRS 時,您可以移除閒置的資源來節省成本,只需要在進行演練或復原時才需支付費用。 AWS Elastic Disaster Recovery 建置架構 同時透過 AWS Elastic Disaster Recovery 可以建立來源與目標環境之間的資料一致性。其透過安裝在各來源主機上的 AWS Replication Agent ,去識別主機的資料異動,並透過非同步的方式複製到 AWS 的暫存區(Staging Area Subnet)。當災難發生時,將觸發恢復機制,透過還原區(Recovery Subnet)來恢復服務的運行。 AWS Elastic Disaster Recovery 使用 Amazon Elastic Block Store (EBS ) 快照來拍攝暫存區(Staging Area Subnet)中儲存資料的時間點快照。可以選擇系統、服務中斷的時間點進行還原。 總結來說,AWS Elastic Disaster Recovery 提供了一種保護資料、系統、服務的方式,讓企業可以確保系統、資料的復原,掌握服務的可用性,能以最小限度的停機時間恢復至正常營運。 身為企業的雲端數位長,銓鍇國際擁有專業的雲端顧問團隊和多年的產業經驗,協助多元產業和企業遷移上雲、雲端轉型,讓企業的數位轉型之路更加順暢。想了解更多異地備援以及 AWS Elastic Disaster Recovery 資訊,請即刻與您的雲端數位長 CKmates 聯繫。
You can learn more details here