弱點掃描、滲透測試有何差別?企業資安檢測服務選擇指南
2025-04-30
在數位化浪潮席捲各行各業的時代,資訊安全已是每家企業都必須正視的經營風險管理議題。尤其在面對日益複雜的攻擊手法時,企業該如何主動出擊,強化系統防禦力?弱點掃描與滲透測試,正是兩項關鍵的資安檢測技術!弱點掃描與滲透測試兩者有何不同?本文將帶你深入了解這兩種方法的差別,幫助你更有效規劃企業資安策略。 什麼是弱點掃描? 弱點掃描是一種自動化的資安工具,可快速掃描系統、網站、伺服器、應用程式等環境,找出已知的安全漏洞,讓資安團隊可以提前修補問題,以更低的成本、更短的時間完成修補作業,確保資安無虞,防止攻擊發生。 弱點掃描標準執行步驟 一、確認掃描標的 在進行弱點掃描前,首先須明確界定掃描的範圍與對象。這一步驟會根據業務系統的重要性、合規要求或資安策略來確認哪些主機、網站、應用程式或資料庫需要被掃描。企業常將外部公開資源(如網站、VPN)與內部核心系統(如ERP、伺服器)列為優先對象。 二、執行弱點掃描 透過合適的弱點掃描工具進行自動化掃描,如採用 Acunetix、Web Vulnerability Scanner 進行網站(網頁)弱點掃描,並運用 Tenable Nessus Professional 來偵測系統層級的安全漏洞。 三、弱點修正 掃描完成後,將收到一份漏洞清單,需由專業資安團隊與 IT 團隊共同研判哪些屬於高風險並優先修正。常見的修補方式包括:更新作業系統或應用程式至最新安全版本、關閉不必要服務、修正錯誤設定或變更弱密碼。部分無法立即修補的項目,則可採取替代控管措施(如防火牆阻擋、存取限制等)來降低風險。 四、複掃驗證 完成弱點修正後,需再次執行掃描,以確認漏洞是否已成功排除。複掃應使用相同的工具與設定條件進行,以確保結果具有一致性。若仍發現漏洞存在,需進一步確認修補流程是否正確落實或是否出現誤判情形。 五、產出中英文檢測報告 最後,依據掃描結果整理成中英文雙語版本的正式報告,內容包括:風險摘要、弱點清單、修補建議與風險等級分類,報告亦可納入風險趨勢圖表、修復進度與後續建議,有助於高階主管更清楚掌握整體資安風險狀況與應對策略。 什麼是滲透測試? 滲透測試是一種模擬駭客攻擊的手法,由資安專家以攻擊者的角度實際入侵系統,目的是測試企業整體防禦能力,找出防線上的弱點,並評估攻擊可能帶來的實際影響。 滲透測試標準執行步驟 一、目標確認與弱點分析 滲透測試的第一步是明確確認測試目標與範圍,根據契約或測試委託內容,確認哪些系統、IP 網域、應用服務或帳號可納入測試。在取得合法授權後,測試人員會進行資訊蒐集,藉此描繪潛在攻擊面。隨後,測試人員會依據 SANS Top 20 及 OWASP 常見弱點類型,篩選出具有實際威脅的項目。 二、滲透測試攻擊 在確認可用的弱點後,滲透測試人員會進行實際攻擊操作,模擬真實駭客可能採取的手法,此階段的主要目的是驗證弱點是否能被實際利用,並非造成破壞,因此所有滲透測試行為都必須嚴格控制風險,避免影響正常服務運作。 三、報告與改善建議 測試完成後,所有滲透測試發現的弱點與執行過程都需彙整成報告,內容包含實際驗證的漏洞、所使用的攻擊手法、取得的權限或資料內容,並提供修復建議。 弱點掃描與滲透測試兩者差異 弱點掃描 滲透測試 操作 方式 自動化工具 模擬駭客攻擊手法 檢測 報告 弱點列表與風險報告 實際可利用的攻擊路徑與風險報告 優點 掃描規模大,包含作業系統、應用程式、設定錯誤等 作業時間短 更深入的資安防護檢測 模擬真實的攻擊情境 缺點 只能針對已知的漏洞進行掃描 無法判斷漏洞是否真的能被攻擊利用 無法涵蓋所有系統與弱點,多以「有範圍的深度」滲透測試 成本較高、耗時長 執行 頻率 可定期執行,建議 3-6 個月一次 通常每年 1-2 次 企業該選擇弱點掃描還是滲透測試? 當企業在資訊安全管理上考慮進行弱點檢測時,常會面臨「弱點掃描」與「滲透測試」該如何選擇的問題。其實,這兩者並非互斥,應視企業資安需求與預算安排來規劃。 定期且快速檢測:選擇弱點掃描(建議一年4次) 若企業目的是快速且定期掌握系統潛在弱點,建議先導入弱點掃描工具,作為基礎風險盤點機制。弱點掃描可透過自動化工具協助發現作業系統、應用程式、設定錯誤等常見風險,適合日常維運與資安監控使用,有助於在早期即辨識潛在漏洞,降低後續攻擊風險。 深入驗證資安韌性:選擇滲透測試(建議一年2次) 當企業希望深入驗證漏洞是否可被真實利用或是評估現有防禦效果時,則可選擇滲透測試。滲透測試能模擬真實駭客的攻擊行為,協助找出防線薄弱處與潛在入侵路徑。 理想情況下,弱點掃描與滲透測試搭配進行,才能全面掌握風險來源與實際影響,建構具備預警與應變能力的資安防護策略。 如何選擇合適的資安服務廠商? 在選擇資安服務廠商時,無論是進行弱點掃描還是滲透測試,最重要的是找到一家擁有專業經驗的公司。能夠針對企業的實際需求與產業背景,提供切實可行的建議和對策。在這方面,CKmates 提供了全方位的資安服務,包括弱點掃描、滲透測試及雲端資安顧問服務。我們的專業團隊將幫助企業定期檢測資安防線,並透過模擬攻擊的方式,檢視防禦措施的實際效能,提供一站式的資安策略服務,強化企業資安防線!現在就聯絡我們,讓 CKmates 為您提供專屬的弱點掃描與滲透測試解決方案!
生成式 AI 強化資安防線:用自然語言管理資安日誌
2025-04-25
現代應用場景中,生成式人工智慧(Generative AI)不僅成為熱門話題,更逐漸應用於企業各項業務流程中,從文字撰寫、程式開發到資訊整理與視覺化分析,幾乎無所不包。資安領域也不例外。企業內部資安人員時常需要在繁雜的日誌與告警中快速找出關鍵資訊,並立即應對潛在威脅,在過去這項工作是非常耗工費時的。而結合 AWS 的生成式 AI 工具與全託管式資安資料湖服務,正是實現資安智慧化的關鍵並且提升人員的資訊查找效率。 本文將介紹如何透過 Amazon Security Lake 搭配 Amazon Q in QuickSight,建構出一個完全無伺服器的資安可觀測性解決方案,讓資安團隊能以自然語言(human language)查詢多來源的安全日誌資料,快速進行威脅調查、視覺化分析與回應,加速從「偵測」到「處置」的整體效率。 為何選擇生成式 AI 強化資安? 傳統資安分析往往仰賴大量手動查詢與跨系統比對,例如從 AWS CloudTrail 日誌中找出特定異常登入事件、或從 VPC Flow Logs 中篩選出可疑流量來源。這些作業對於資安架構師或分析師來說既耗時又複雜。而生成式 AI 的加入,可讓使用者直接以自然語言輸入問題,例如:「過去 24 小時內有哪些帳號有來自海外的登入失敗記錄?」 AI 模型即可自動轉換成 SQL 查詢,從資料湖中擷取所需資料並以圖表呈現,大幅降低門檻與反應時間。 如何透過AWS上的服務建構雲端智慧防護中心? 本解決方案的核心架構如下: 1. Amazon Security Lake: 集中管理來自 AWS、SaaS 和內部系統的安全性日誌,轉換為 Apache Parquet 格式並標準化為 OCSF(Open Cybersecurity Schema Framework)結構,儲存於 Amazon S3。 2. Amazon Athena: 透過 Security Lake 自動建立的資料表,使用 Athena 建立視圖(Views)以聚焦重要欄位,例如: CloudTrail 的 eventName、sourceIPAddress VPC Flow Logs 的 source/destination IP 與 port Security Hub 的 finding type 與 severity 3. Amazon QuickSight + Amazon Q: 將上述視圖匯入為 QuickSight 資料集(Dataset) 建立 Amazon Q Topic,將欄位加上人類可讀的標籤與語意對應 使用者可透過自然語言查詢 Q Topic,自動產出多視覺化的分析儀表板 應用情境實例 在建置完這個架構後可以透過自然語言搜尋Show me findings with compliance status failed along with control id,QuickSight Q會透過圖表的方式呈現。 或是搜尋findings with product security hub group by control id include count,會得到以下結果 也可以結合Inspector進行弱點管理,例如搜尋:show all ACTIVE findings with product inspector group by Title add count,會得到以下結果: 結合 Amazon Security Lake 的高整合性資料湖與 Amazon Q in QuickSight 的自然語言分析能力,企業資安團隊能更即時、精準地洞察潛在威脅,大幅提升整體防護力與回應效率。未來,隨著生成式 AI 模型持續進化,我們將能看見更多智慧資安的創新應用,真正實現「看得懂、查得快、動得及」的資安治理新模式。CKmates 持續關注市場動態與最新技術發展,為您帶來第一手的科技資訊。歡迎隨時鎖定您的雲端數位長 CKmates。 文章出處:CKmates AWS Ambassador Tony Chung AI 服務系列專欄: 什麼是 Amazon Nova? CKmates 架構師帶您手把手操作 運用 AWS 打造生成式 AI !多元產業應用指南 電商必備 AI 行銷神器!如何運用 Amazon Personalize 黏住客戶、提升業績 打造最了解您的企業級生成式 AI 助理!Amazon Q 使用指南 比 DeepSeek 省!APMIC 與銓鍇國際攜手推出「 Test-Time Compute AI 算力解決方案」,重新定義企業 AI 訓練模式
.png)
Amazon DataZone 是什麼?企業 AI 資料管理首選
2025-04-22
在現今數據驅動的商業環境中,資料治理(Data Governance)扮演著確保數據品質、完整性和安全性的關鍵角色。透過明確的政策和流程,企業能夠有效管理數據的使用,支持業務決策和運營。 什麼是資料治理 資料治理是一套管理程序與政策,確保資料品質、安全性與合規性,使其能有效支援業務決策與運營。隨著企業從多種來源大規模蒐集資料,只有在資料達到高完整性與標準化時,才能真正發揮價值。 為什麼資料管理很重要 過去,資料治理常被用來封鎖資料孤島,以防止資料洩露或濫用。然而,資料孤島卻使合法使用者在存取所需資料時面臨障礙,無意間抑制了數據驅動創新的發展。 根據 MIT CDOIQ 在 2024 年對 350 名資料長及其同級職位進行的調查,45% 的資料長將資料治理列為首要任務。他們的目標是建立資料治理框架,既能確保資料安全,也能在需要時將資料提供給適合的人員和應用程式。 圖/資料治理是一套管理程序與政策,確保資料品質、安全性與合規性,使其能有效支援業務決策與運營。 Amazon DataZone 打造一站式資料管理 AWS 去年(2024年)正式宣佈,Amazon DataZone 現已支援管理 AWS 機器學習(ML)服務 Amazon SageMaker 中的資料。 Amazon DataZone 是一項資料管理服務,可讓客戶更快、更輕鬆記載、探索、共用和管控儲存在 AWS、內部部署與第三方來源之間的資料。由於 Amazon SageMaker 涉及大量且不一樣格式的數據,通常需要自訂工作流程並整合多種工具來確保數據治理的完整性。 透過 Amazon SageMaker 與 Amazon DataZone 的全新內建整合,企業可大幅簡化機器學習資料的管理流程。使用者僅需數次點擊,即可輕鬆設定跨基礎設施的 機器學習資料治理機制,提升資料存取與使用的靈活性,促進跨部門協作,同時確保機器學習資產的高效管理與合規性,加速業務決策與模型部署。 圖 / Amazon SageMaker 現已與 Amazon DataZone 集成,以簡化機器學習治理 。 透過這項整合,機器學習管理員在部署 Amazon SageMaker 基礎設施時,可運用 Amazon Virtual Private Cloud (VPC)、Amazon Key Management Service (KMS)、以及 AWS Identity and Access Management (IAM) 的控制項,建立 Amazon SageMaker 環境設定檔。 這些設定檔可供機器學習開發者能夠在幾分鐘內快數部署 Amazon SageMaker 網域,無需手動配置基礎設施,大幅提升開發效率,還能與 Amazon DataZone 的資料治理與存取控制機制無縫整合,開發者能夠更輕鬆地搜尋、存取和共享機器學習資產,確保環境符合企業的安全性和合規性要求,加速機器學習工作負載的落地與運行。 圖 /開發者可快速部署 Amazon SageMaker 網域,並與 Amazon DataZone 的資料治理與存取控制機制無縫整合。 Amazon DataZone 三項設定一次搞定! 在 AWS 環境中,Amazon DataZone 讓組織能夠高效管理與治理資料資產。只需完成三個關鍵設定,即可快速啟用 DataZone,確保數據存取安全、資源整合順暢,並提高資料管理效率。 一、設定使用者權限 進入 Amazon DataZone 控制台,點擊 「使用者管理(User Management)」,開始配置存取權限。在 DataZone 中,使用者可被指派不同的角色,如 「管理員(Admin)」、「數據使用者(Data Consumer)」 或 「數據提供者(Data Producer)」,確保適當的存取控制。 二、整合 AWS 資料來源 在 DataZone 控制台,前往 「資料來源(Data Sources)」,點擊 「新增資料來源(Add Data Source)」,然後選擇 AWS 內部或外部的數據存放位置。DataZone 支援與 Amazon S3、AWS Glue、Amazon Redshift 等服務無縫整合,使數據治理更加簡便。 三、管理資料目錄 在 DataZone 控制台,前往 「業務目錄(Business Catalog)」,點擊 「新增資產(Add Asset)」,即可將整合的數據資產發佈到企業內部目錄,方便團隊成員發現與使用。 建立分類標籤:為每個數據資產添加 標籤(Tags) 或 分類(Categories),例如「機器學習訓練數據」、「財務報表」、「ETL 處理結果」,幫助用戶更快找到需要的數據。 發佈數據資產:當數據經過驗證與標註後,點擊 「發佈(Publish)」,讓組織內的其他成員可以訂閱並使用該資產。 訂閱審批流程:當使用者請求存取某個數據資產時,管理員可透過 「訂閱請求(Subscription Requests)」 介面進行審批,確保敏感數據不會被未經授權的用戶存取。 圖 / Amazon SageMaker 現已與 Amazon DataZone 集成,以簡化機器學習治理。 在 AI 驅動的時代,資料治理始終是企業關注的核心課題。企業不僅要確保使用者能夠高效存取資料,還必須維持其安全性與可靠性。隨著技術演進,資料存取與控制的平衡方式也不斷優化。AWS 提供的 Amazon DataZone 與 Amazon SageMaker 整合,讓組織能簡化基礎設施管理,同時強化資料存取與權限控制,確保資料治理符合企業需求。 銓鍇國際 CKmates 深耕企業數位轉型,針對 AI、大數據 等應用場景,提供完善的企業資料治理解決方案,透過雲端架構與工具提升運營效率,降低營運成本,加速企業數位升級!
2025 AWS 資料庫落地台灣!如何運用策略與工具輕鬆實現雲端遷移?
2025-02-26
近年來,企業正面臨數位轉型的關鍵時刻,隨著人工智慧 (AI)、機器學習 (ML) 和物聯網 (IoT) 等技術的快速發展,各種創新應用層出不窮。為了提升競爭力並創造更具彈性的營運模式,越來越多企業選擇導入雲端服務,以降低基礎設施成本、提高效率並加速創新。 將企業關鍵應用、資料管理、系統整合等運作遷移至雲端,能讓企業專注於核心業務發展,無需投入大量資源管理地端基礎設施,進而提高營運效能與決策靈活度。AWS 等雲端平台提供完善的解決方案,協助企業順利遷移至雲端,提升生產力、優化成本結構,並確保業務的持續發展。 本文將探討企業雲端遷移的核心方法,分析不同的遷移策略與工具,並重點介紹如何利用 AWS 台北區域等雲端資源,確保遷移過程的高效與安全,以滿足各行業數位轉型的需求。 遷移方法 - 雲端遷移的不同策略與工具 企業在選擇遷移系統到雲端時,AWS 提供多種遷移方案,企業可以根據需求選擇適合的方式輕鬆上雲。 (1) 應用遷移 應用遷移主要針對的是企業的應用程式及其相關的作業環境,可使用以下工具進行: AWS Application Migration Service (MGN): AWS MGN 是一項高效、簡化的應用遷移工具,專為無需中斷業務運行的情況而設計。透過抄寫VM、主機的硬碟,實現雲端與地端環境的同步搬遷,配合自動化的流程將應用系統遷移至 AWS 雲端,減少了手動操作的時間與錯誤風險,並且支援異地遷移,允許企業將應用程式運行環境無縫遷移至 AWS。 VM Import/Export:可以將 VMware、Microsoft Hyper-V 或 Citrix Xen 的 地端虛擬機映像檔(VM Image)匯入 AWS 運行,企業無需重新設計其現有的虛擬化環境,便可以將其現有應用及資料遷移到 AWS 上。 (2) 資料遷移 資料遷移主要是將資料庫和檔案系統的資料從地端或其他環境遷移至雲端,通常涉及到數據庫的結構轉換、同步或備份等操作。可使用以下工具進行遷移動作: AWS Database Migration Service (DMS):支持多種資料庫系統的遷移,包括 Oracle、MySQL、PostgreSQL 等,幫助企業將資料庫平滑遷移至 Amazon RDS 或 Amazon DynamoDB。 AWS DataSync:協助企業將其 NAS 或檔案伺服器資料同步與抄寫,AWS 支援 Amazon S3、EFS、FSx 等多種存儲服務,可自動化大規模資料遷移的流程,並且支援檔案的即時同步與儲存。 延伸閱讀:雲端遷移策略解密! 4 種雲端服務有效取代地端機器 AWS 台灣區域級資料中心將於 2025 年正式啟用 為滿足台灣企業在雲端運算資源以及數位轉型的需求,AWS 將於 2025 年在台灣建立 AWS 亞太(台北)區域(Region)級雲端資料中心,提供台灣企業更低延遲、更高效能的雲端基礎設施,協助製造業加速雲端採用,提升競爭力。 AWS 亞太(台北)Region將包含三個獨立的可用區域(Availability Zone,AZ),每個可用區域皆具備獨立的供電、冷卻與實體安全防護設施,並透過低延遲、高冗餘的專用網路相互連接。這樣的架構可以確保企業的應用情境,即使在單一可用區域發生異常時仍能維持運作,使得系統做到服務不中斷的高可用。 同時由於 AWS 台北 Region 的設立,可以將企業的重要數據存放於境內,解決了以往對於資料儲存於境外的疑慮。讓企業可以符合組織或是主管機關的相關要求或是規範。這一設立將對各行業產生深遠的影響: 1、降低延遲 本地區的 Region 靠近使用者,資料傳輸距離短,可減少延遲,提升應用程式的響應速度。 2、符合法規與合規性要求 金融、醫療或政府機構要求資料存放在國家境內內。選擇台灣的 AWS Region 可確保符合資料主權 (Data Sovereignty) 和合規需求。 AWS 在全球企業數位轉型領域擁有豐富經驗,透過廣泛的實際應用與技術創新,深入了解各產業的挑戰與需求,進而打造多元的雲端解決方案。隨著 AWS 亞太(台北)區域的落地,台灣企業能夠更便捷地存取 AWS 的創新雲端服務,如人工智慧(AI)、機器學習(ML)、物聯網(IoT)及行動服務等,進一步提升營運效率、優化成本結構,並加速數位轉型進程,以驅動創新應用並強化市場競爭力。
打造高可用雲端架構 深入解析韌性模式設計
2025-02-06
營運韌性是指在面對故障、負載增加或攻擊時,仍能持續提供不中斷服務的能力。AWS 與客戶共同承擔韌性實現的責任:AWS 提供具高可用性和冗餘的基礎設施,而客戶需設計並測試應用系統以滿足特定需求。針對不同應用系統,韌性要求各異,需要平衡需求、成本和複雜度,選擇最合適的架構設計。 深入探索 AWS 的韌性設計:讓服務不中斷的秘密 AWS 通過全球分散的基礎設施設計確保營運韌性,包括 33 個區域 (Region) 和 105 個可用區 (Available Zone,AZ)。區域間完全隔離,確保單一區域中斷不影響其他區域,顯著降低地理風險。每個區域內部署專用基礎設施和服務堆疊,並通過非同步設計進行跨區域資料複製,如 Amazon S3 在不同區域的自主運行模式,確保服務穩定性。可用區由多個物理資料中心組成,支持低延遲資料複製和冗餘網路,同時保持足夠物理距離以減少自然災害影響。 AWS 多數服務設計為可獨立運行於單一區域或可用區內,例如 Amazon Route 53,提供 100% 可用性並限制故障影響範圍。此外,AWS 持續擴展其區域和可用區布局,以滿足各類應用對高韌性和高可用性的需求,打造靈活且可靠的雲端架構。 雲端架構韌性:設計高效穩定的服務系統 設計韌性架構時,需要考慮以下 5 個核心要素,並在之間找到平衡: 設計複雜度 實施成本 維運工作 安全性 對環境的影響 韌性設計會增加系統複雜度,可能引發不可預知行為。 需評估是否值得提升複雜度,或改用更簡單的災難恢復 (Disaster Recovery, DR) 機制。 韌性越高,成本越高,需運行更多軟體和基礎設施。 不過若確保成本合理,能與未來可能的損失相抵。 高韌性系統需要更複雜的操作流程和技能。 應確認維運能力足夠,包括流程成熟度和技術水平。 韌性和安全性關係不大,但高韌性系統需保護更多元件。 使用雲端安全最佳實踐來維持安全性。 韌性增加可能提升資源消耗。 可透過減少計算資源或調整反應時間來降低影響,實現可持續性。 5 種韌性設計模式 本文將探討圖 1 所示的 5 種韌性設計模式 (P1 至 P5),並分析在採用這些模式時需要考量的各項權衡,幫助您根據應用系統的特定需求,選擇適合的韌性等級,最終設計出符合需求的最佳架構方案。 圖/AWS Blog 韌性模式 1 (P1) 圖/AWS Blog P1 模式是一種利用多個可用區 (AZ) 提高系統韌性的雲端架構,適用於對業務影響較小的應用系統,如內部工具或非關鍵系統。 設計概念 特點與權衡 運行行為 單一執行個體 (EC2 Instance) 在多個可用區中運行。 自動化管理使用 Auto Scaling Group,當某一可用區的執行個體故障時,可自動在其他可用區啟動新的執行個體。 此架構可減少單一可用區故障對整體服務的影響。 優點:較低的架構複雜度與成本。 缺點:若某個可用區故障,應用程式需要重新啟動,可能造成短暫中斷。 適合對韌性需求相對較低的應用系統。 若出現故障,AWS 會自動偵測並在其他可用區中啟動備援資源,確保服務持續運行。 韌性模式 2 (P2) 圖/AWS Blog P2 模式是利用多個執行個體在多可用區 (Multi-AZ) 運行,強調「靜態穩定性」(Static Stability),適合高韌性需求的應用系統。 設計概念 特點與權衡 運行行為 適用場景 多組執行個體在多個可用區內同時運行,確保系統穩定,即使部分區域發生故障,其他執行個體仍可承擔流量。 配合 Auto Scaling Group 和 Elastic Load Balancer (ELB),自動分配流量到可用執行個體,避免影響使用者體驗。 優點: 減少單一可用區故障對整體系統的影響。 靜態配置避免資源頻繁調整,提高穩定性。 缺點: 資源運行成本高,需要額外資源在平時保持靜態可用。 當某個可用區發生故障時,流量會自動轉移到正常運行的可用區內執行個體,維持服務不中斷。 適合需高可用性的應用系統,例如電子商務網站,避免停機造成重大損失。 在多可用區內平衡資源配置,避免高峰期間對用戶造成影響。 韌性模式 3 (P3) 圖/AWS Blog P3 模式是一種多區域 (Multi-Region) 分散部署架構,適用於需要極高韌性的關鍵應用系統,例如銀行服務或全球分布式的應用程式。 設計概念 特點與權衡 運行行為 適用場景 在多個地理區域 (Region) 中部署應用系統,確保即使一個區域中斷,其他區域仍可正常運行。 每個區域內使用多可用區 (Multi-AZ) 和 Auto Scaling Group,進一步提高可靠性。 消費者可透過不同區域的應用程式存取服務,即使部分區域中斷也能持續提供服務。 優點: 降低單一區域故障導致全系統中斷的風險。 分散部署的架構可確保全球用戶的服務可用性。 缺點: 管理和維運成本高,需要維持多個區域的同步性和一致性。 系統依賴區域間的共享資源,可能仍受影響。 若某一區域的服務故障,用戶可自動切換到其他正常運行的區域,保持業務連續性。 通過負載均衡 (Load Balancer) 或域名服務 (DNS) 自動導向用戶請求至可用的區域。 全球分布的關鍵應用系統,例如金融交易、聯絡中心或跨區域的移動應用程式。 對高可用性和低延遲有極高要求的業務。 韌性模式 4 (P4) P4 設計概念可參閱此文章 :什麼是 BaaS 與 DRaaS ? 4 種方案制定最完整的災難備援策略 P4 模式是一種多區域災備架構,適用於高韌性需求的關鍵業務服務,例如金融支付系統,確保服務在災難情況下快速恢復。 設計概念 特點與權衡 適用場景 根據應用需求,選擇以下模式來滿足恢復時間目標 (RTO) 和恢復點目標 (RPO): 1、指示燈模式 (Pilot Light): 僅在災難恢復區域中保留關鍵基礎資源處於待命狀態。 平時資源處於最低運行,災難發生時快速啟用並恢復完整功能。 適合 RTO/RPO 約為 10 分鐘級的應用系統。 2、暖待命模式 (Warm Standby): 災難恢復區域保留較低量的基礎資源並日常運行。 災難期間可快速升級到完整運行狀態。 通常通過自動化工具實現數分鐘級的恢復。 優點: 降低跨區域中斷的影響,實現快速恢復。 成本和資源消耗相對於多站點活躍架構較低。 缺點: 需要額外管理跨區域的資源同步,增加部署複雜性。 系統依賴基礎架構自動化工具 (如 IaC) 來加速恢復。 高韌性需求但需要平衡成本的應用系統,如銀行交易或其他對中斷敏感的服務。 可接受短暫恢復時間的業務場景。 韌性模式 5 (P5) 圖/AWS Blog P5 模式是多區域多活架構,適用於對中斷容忍度接近零的關鍵應用系統,如銀行核心業務和客戶關係管理系統。 設計概念 特點與權衡 運行行為 適用場景 在多個地理區域 (Region) 同時運行應用系統,讓所有區域同時處於活躍狀態 (Active-Active)。 透過 Route 53 負載均衡,分配用戶請求到最近且可用的區域,確保服務不中斷。 提供接近零的恢復時間目標 (RTO) 和資料遺失目標 (RPO)。 優點: 最大化降低區域中斷對服務的影響。 適合極高韌性需求,確保服務穩定性和用戶體驗。 缺點: 部署複雜度高,涉及多區域間的同步與一致性。 高成本,需維持多區域的完整基礎設施和運行資源。 用戶請求根據地理位置自動導向最近的活躍區域。 若某一區域發生故障,流量會自動轉移到其他區域,保持服務連續性。 高度關鍵且不能容忍任何停機的業務,例如銀行交易、醫療數據處理或全球分布式應用系統。 從基礎到核心-AWS 韌性架構的多層次實現 AWS 提供多層次的韌性架構設計,從基礎的多可用區部署到多區域多活模式(P1 至 P5),滿足不同應用系統的需求。這些設計結合全球分散基礎設施、非同步跨區域資料複製和多樣化災備策略,確保即使在區域性故障下,服務仍能穩定運行。從應對單區中斷的簡化模式到接近零停機的核心架構。 AWS 韌性模式在高可用性、恢復速度和成本效益之間找到平衡,幫助用戶設計出可靠靈活的雲端系統,適應不同業務需求。 選擇適當的韌性模式取決於業務需求和預算,AWS 提供工具和架構最佳實踐,幫助用戶實現靈活可靠的雲端架構。 CKmates 擁有豐富的雲端架構經驗,可協助企業評估並優化 AWS 韌性模式,確保系統在高可用性與成本效益之間取得最佳平衡,讓業務運行更穩定、更高效。
什麼是 Amazon Nova? CKmates 架構師帶您手把手操作
2024-12-30
在 AWS re:Invent 2024 年度大會上 Amazon 現任 CEO Andy Jassy,公布了Amazon 最新一代最先進的大語言模型Amazon Nova,令人為之驚艷。Amazon Nova 提供企業低延遲的生成體驗且較其他廠牌之大語言模型少了 75% 的使用成本,且令人更興奮的是,Amazon Nova 支援繁體中文!本期文章將帶您了解 Amazon Nova 的全貌並帶您操作如何使用。 延伸閱讀: AWS re:Invent 2024 最新技術完整整理 Amazon Nova大解密,裡面有哪些模型? 根據不同的使用情境,Amazon Nova 分為四種不同等級 Micro:系列中最經濟實惠的純文字模型,專為低延遲需求設計。它的上下文長度可達 128K 字元,特別適合像文字摘要、翻譯、內容分類、互動聊天、腦力激盪、簡單數學推理和基礎程式碼生成這類任務。而且,Nova Micro 還支援微調(Fine-Tune)和模型蒸餾(Model Distillation),可以用來客製化模型,提升特定任務的準確度。 Lite:性價比高的多模態模型,可以處理文字、圖片和影片輸入,並生成文字回應。它能夠精準地應用於即時客戶互動、文件分析和視覺化問答等情境。支援 300K 字元的輸入長度,還能一次處理多張圖片或長達 30 分鐘的影片內容。Nova Lite 也能微調並進行模型蒸餾,為不同使用場景提供高品質且具成本效益的解決方案。 Pro:功能全面的多模態模型,具備高準確度、速度和經濟性,適用於多種任務需求。它同樣支援 300K 字元的上下文長度,適合用於處理複雜的任務和代理工作流程,比如 API 調用、跨流程任務整合等。Nova Pro 表現在視覺問答和影片理解上尤為突出,也擅長財務文件分析,甚至能處理超過 15,000 行程式碼的程式庫。此外,它也是 Nova Micro 和 Lite 客製化模型的「老師」。 Premier:這是目前系列中最強的多模態模型,專為處理複雜推理任務而設計。它也是用於教導其他自訂模型的最佳選擇。Nova Premier 還在訓練中,AWS 預計於 2025 年初推出。 除了上述四種模型之外 Amazon Nova 也推出了圖/文字生成圖片的服務 Amazon Nova Canvas,其功能還包括豐富的編輯功能,例如修復圖像、根據元有圖像加入元素和去除背景。 Amazon Nova Reel 是目前最先進的影片生成模型。透過簡單的文字提示或圖片,你就可以輕鬆製作短影片,並自由控制影片的風格和節奏,非常適合用來製作行銷、廣告或娛樂用途的專業級影片內容。與現有的其他模型相比,Nova Reel 的影片品質和一致性在人工評估中表現更為優異。 在 Andy Jassy 演講的最後,他也跟大家分享了Amazon Nova 未來可生成所有素材,包含 Speech-to-Speech,語音輸入產生語音輸出。更厲害的是 Any-to-Any,也就是輸入任何素材可以請 Amazon Nova 產出任何素材,這是目前市面上的大語言模型所未見到之遠景。 如何使用Amazon Nova?Ckmates架構師帶您手把手操作 要使用 Amazon Nova 目前只能透過 Amazon Bedrock 上的 Console 或是 API 來進行存取使用,下面為使用的操作流程: 到 Amazon Bedrock Console 設定模型存取權,並訂閱 Amazon Nova 透過 Play Ground 選擇 Chat 並選擇剛剛訂閱的 Amazon Nova 模型 可以在 PlayGround環境調整系統提示詞、溫度和 Top P 值 Amazon Nova 也可以透過 API 調用,下面 以AWS cli 為範例 aws bedrock-runtime converse \ --model-id us.amazon.nova-pro-v1:0 \ --messages '[{"role": "user", "content": [{"text": "什麼是AWS"}]}]' Amazon Nova 圖片以及影片生成流程 在 Amazon Bedrock Playground 選擇 Image/Video,並選擇 Nova Canvas 圖片生成模型 可在左邊調整 Negative prompt、總共要生成幾張圖片、亂數種子等參數 如果是透過 API 調用語法: aws bedrock-runtime invoke-model \ --model-id amazon.nova-canvas-v1:0 \ --body "{\"textToImageParams\":{\"text\":\"貓在森林裡面跑動\"},\"taskType\":\"TEXT_IMAGE\",\"imageGenerationConfig\":{\"cfgScale\":6.5,\"seed\":12,\"width\":1280,\"height\":720,\"numberOfImages\":3}}" \ --cli-binary-format raw-in-base64-out \ \ --region us-east-1 \ invoke-model-output.txt 要生成影片選擇模型 Amazon Reel 因為生成影片檔案的大小會比較大,會跳出通知顯示你必須建立一個 S3 Bucket 來儲存生成的影片 可以透過文字或是圖片產出影片 就可以經鬆製成以下這樣的影片囉:https://youtu.be/pyratNqTJG8 如果是透過 API 調用語法: aws bedrock-runtime start-async-invoke \ --model-id amazon.nova-reel-v1:0 \ --region us-east-1 \ --model-input file://modelInput.json \ --output-data-config file://outputDataConfig.json \ --output json CKmates 持續關注市場動態與最新技術發展,為您帶來第一手的科技資訊。想了解更多關於 Amazon Nova 與其他創新服務的最新消息,歡迎隨時鎖定您的雲端數位長 CKmates。 文章出處:CKmates AWS Ambassador Tony Chung AWS AI 服務系列專欄: 運用 AWS 打造生成式 AI !多元產業應用指南 電商必備 AI 行銷神器!如何運用 Amazon Personalize 黏住客戶、提升業績 打造最了解您的企業級生成式 AI 助理!Amazon Q 使用指南
AI 驅動下的部署策略:公有雲 vs. 地端部署,企業該如何選擇?
2024-11-06
在 AI 浪潮席捲全球的今天,企業面臨前所未有的機遇與挑戰。傳統的 IT 基礎設施模式已難以滿足現代市場的需求。為了尋求合適的解決方案,選擇公有雲端服務已成常態,尤其是透過 AWS 等大型雲端服務供應商上的眾多服務進行各項整合,可以使企業更加聚焦在業務、服務的開發,進一步提升企業競爭力。 所謂的雲端服務,就是將資料的儲存與運算交由遠端伺服器處理,再經由網際網路傳輸給用戶端。公有雲(Public Cloud)就是由第三方公司提供雲端主機及儲存空間等相關服務給客戶使用,使用者不需要額外建置實體硬體設備即可享有各類雲端服務的使用權,費用則是按需付費(pay-as-you-go),也可以省下大筆自行維運機房的總體持有成本。 雲端服務使得企業能夠以更低的成本獲得較高的計算能力和儲存容量,同時大大提升了業務的靈活性和創新速度。利用 AWS 的核心服務,可以改善 IT 架構和運營模式,進一步為企業帶來更多價值。 雲端與地端網路的資源配置方式差異 圖/利用雲端虛擬網路的功能,客戶可以隨時根據需求建置與調整安全高效的網路架構。 透過雲端提供的虛擬化網路基礎設施,用戶可以透過可視化的管理介面或 API 進行設定和管理。相比之下,地端網路是在企業內部自行部署和管理的實體網路設備,需要在前期投入大量的購置,如防火牆、路由器、交換器等網路設備,且這些設備需要 IT 人員進行實體維護,而雲端網路具有更高的靈活性和可擴展性,用戶可以根據需求快速調整網路資源及相關設定。 此外若想提升企業資源的高可用,AWS 在各個地區都配置了多個資料中心,可以將應用程式配置在 Virtual Private Cloud(VPC) 中的多個可用區(Availability zone) ,可確保即使某一區域發生故障,系統也能自動切換至其他區域,維持服務的連續性與穩定性,從而實現高度的容錯能力。 圖/ AWS 提供多種如運算密集型、記憶體密集型、AI 運算加速型等雲端主機可供隨需使用。 雲端主機具有較高的靈活性,除了可以依照使用情境來選擇合適的運算資源,用戶也可以在資源建立後,根據需求快速擴展或縮減資源。而地端在主機配置上雖提供更直接的硬體控制權,但地端主機若遭遇運算資源不足或需要縮減規格時,在管理及運用上較不那麼彈性,且在設備維護及汰換需完全依賴企業自身的 IT 團隊經營。 雲端資料儲存運用 圖/ AWS 提供各種資料倉儲及資料湖方案,可供結構化、半結構化及無結構資料進行大量儲存。 無論是機器學習還是儲存巨量檔案,AWS 提供各式各樣的儲存服務,讓用戶可以依照其使用情境選擇合適的方案。利用雲端提供的可擴展性和靈活性,用戶可以根據需求調整儲存容量,並且可以規劃合適的備份機制,並在雲端平台的管理介面輕鬆實現擬定好的策略。 在資料治理上,考慮到對資料加密、身份驗證和存取控制等安全上的規劃,AWS 雲端支援多種合規性標準,幫助企業確保資料的安全性和合規性。此外 AWS 更提供多種資料數據分析工具的整合,例如 Amazon Athena、Amazon Redshift、AWS Glue 等,協助企業可即時並更有效地治理資料,人員可更專注於分析與商業決策。 託管資料庫 vs 自管資料庫 圖/使用雲端託管服務如 Amazon RDS、AWS S3、DynamoDB 等服務,比起 Amazon EC2 雲端主機這類自管雲端主機服務,可以大量減少客戶所需投入的管理及維護成本(藍色項目)。 託管資料庫和自管資料庫在管理方式和維護責任上有著顯著差異,託管資料庫是由雲端服務提供商管理和維護資料庫服務,使用者只需關注資料的使用,無需處理底層基礎設施的管理。自管資料庫則是由組織自行部署和維護的資料庫系統。除此之外,託管資料庫可定時提供用戶自動備份、安全更新等功能。 雲端內容交付網路(CDN) 圖/透過使用 CloudFront 服務,可讓世界各點使用者無需長途跋涉就可以就地存取資料,極大提升存取效率。 我們在導入公有雲時,不得不提的就是 CDN 技術,CDN 是一個分佈式的網絡應用程式加速服務,可以將內容快速分發到離用戶最近的節點,從而顯著減少延遲,提高網站或系統的載入速度。CDN 還能有效分散流量,提高網站的可用性和穩定性,特別是在流量高峰期。此外 CDN 通常也提供額外的安全功能,如 DDoS 阻擋或 WAF 防護,進一步增強網站的安全性。 相比之下,沒有使用 CDN 的網站所有內容都從原始服務器的節點傳輸,可能導致較長的加載時間,特別是對於地理位置遠離服務器的用戶。利用 CDN 技術不僅能確保全球用戶的即時存取體驗,更能強化系統的穩定性與防護,成為企業雲端轉型中不可或缺的關鍵支柱。 延伸閱讀:什麼是 CDN ?詳細圖解運作模式以及產業運用優勢 這些雲端服務不僅構成了公有雲的核心功能,更重要的是,它們正在重塑企業的 IT 架構和運營模式。企業在未將業務營運部署至雲端前,時常需要根據 IT 需求而擴建機房、添購硬體設備。然而,在這不斷地猜測、預估 IT 需求和容量的過程中,長久下來,無形之中造成企業成本浪費。 您的雲端數位長 CKmates 以專業的技術團隊作為您強而有力的後盾,助企業輕鬆部署雲端環境,也可結合客戶自有機房規劃混合雲,讓 IT 人員專注於更核心、更具商業價值的工作任務!現在就聯繫您的雲端數位長銓鍇國際 CKmates,加速數位轉型的腳步!
什麼是 BaaS 與 DRaaS ? 4 種方案制定最完整的災難備援策略
2024-10-07
在數位轉型和雲端時代,確保企業資料安全、系統穩定是企業持續經營的關鍵。Backup as a Service (BaaS) 和 Disaster Recovery as a Service (DRaaS) 成為企業資訊系統的核心保障機制,除了基礎的備份機制,也可以選擇確保在發生災難時快速復原。 本篇將探討 BaaS & DRaaS 的差異及具體應用情境、制定您的災難備援策略,並介紹四種備份/備援方式,幫助企業在數位時代保障資料安全和業務連續性。 什麼是 BaaS & DRaaS BaaS-Backup as a Service 是一種基於雲端的「資料備份」服務,讓企業能夠將資料自動備份至雲端儲存系統,而不需自行管理複雜的備份基礎設施。 BaaS 服務提供商負責資料備份的自動化、加密、存儲和管理等,確保資料在發生故障或損毀時可以迅速恢復。 DRaaS-Disaster Recovery as a Service 是一種提供雲端「災難復原」的服務,允許企業在發生重大系統故障(如自然災害、系統錯誤、網路攻擊)時,快速恢復並啟動備援系統以確保業務連續運作。 DRaaS 的核心在於將關鍵應用和數據的副本持續同步到雲端,在災難發生時自動切換到備援環境。 BaaS 和 DRaaS 的差異與應用 BaaS DRaaS 專注於資料的備份和還原,適用於日常資料保護和防止資料丟失的情況。 涵蓋了更廣泛的災難情境,除了資料備份外,還包括系統和應用的即時復原, 適用於需要在災難(如自然災害、網路攻擊)後迅速恢復業務,保障整個業務流程的連續性的情況。 這兩種服務相輔相成,企業可以透過 BaaS 確保資料安全,並在突發情況下透過 DRaaS 快速啟動完整系統,降低業務中斷的風險。 制定您的災難復原策略 在制定災難復原策略前,您需先釐清的網頁、應用程式以及資料的還原時間目標(RTO)和還原點目標(RPO)。 RTO 和 RPO 是什麼? 圖/AWS 官網。 復原點目標 Recovery Point Objective (RPO) 定義在災難發生後可接受的資料丟失量,與備份頻率密切相關。RPO 越短,備份次數越頻繁,丟失的資料越少。 復原時間點目標Recovery Time Objective ( RTO ) 指系統從災難中恢復並重新運行所需的時間。短 RTO 能夠讓企業更快恢復正常運作,是設計災難復原計劃的重要指標。 簡而言之,RPO (Recovery Point Objective) 關注的是「資料量」,而 RTO (Recovery Time Objective) 則專注於「復原所需的時間」。AWS 針對企業不同的業務需求、預算以及可容忍的停機時間,提供了 4 種靈活的災難備援策略,確保在發生意外時,企業能根據自身的優先級和容忍度選擇最適合的解決方案。 AWS 的四大災難備援策略 圖/AWS 官網。 Backup and restore-備份與還原 為最基本的備份策略,定期對系統和數據進行備份,發生故障時進行手動恢復。 此選項具有較高的 RPO 和 RTO,適用於不需要即時恢復的非關鍵應用。 Pilot light-指示燈 將核心系統最小化地維持在備援環境中,僅在災難發生時才啟動完整系統。 Pilot Light 提供中等的 RPO 和 RTO,是相對經濟的災難復原方案。 Warm standby-暖待命 保持一個精簡版本的系統長期在線,可在災難發生時迅速擴展為完整運作狀態。 Warm Standby 具備更短的 RPO 和 RTO,是兼顧成本和復原速度的折衷方案。 Multi-site or active/active-多站點主動/主動 所有系統在多個站點同步運作,任何一方發生故障時,其他站點可無縫承接工作。 這是 RPO 和 RTO 最短的方案,能確保業務零中斷運行,但也伴隨較高的成本。 決定您的備份/備援方式 綜上所述,企業可根據內部數據特性與需求,評估並制定合適的備份與備援策略。那麼有哪些工具可以幫助我們有效實現這些策略呢?以下整理幾種雲端備份服務,助您輕鬆實現自動化的資料備援! AWS Backup AWS Backup 是一個集中化、全自動化的雲端備份服務,用於保護 AWS 資源如 Amazon EC2、RDS、EFS 等。它讓企業能簡單設定備份策略,確保資料在需要時可快速恢復,增強資料保護與合規性。 AWS Backup 透過設定備份策略,自動化執行備份並將資料安全地儲存在雲端。它支援多種 AWS 服務的備份,並可進行加密、跨區域備份,當需要恢復時,可快速還原到指定的時間點。 Veeam Backup Veeam 提供強大而靈活的資料備份和復原工具,支持多雲環境、虛擬機器、本地數據中心等。Veeam 的平台集成度高,操作簡便,能大幅減少備份與復原的時間與複雜度。 Veeam & AWS 整合 Veeam 可與 AWS 的備援方案無縫整合,實現自動化備份、快速恢復和多層次資料保護,適應不同企業規模和需求,提升 IT 基礎設施的彈性和安全性。 延伸閱讀:新時代資料保護!如何借助 Veeam 與 Amazon S3 完善備份備援策略 AWS DRS AWS Elastic Disaster Recovery 是一項提供簡化、經濟且高效的災難復原解決方案。AWS DRS 可將企業的 IT 系統和應用程式快速恢復至 AWS 雲端,確保業務連續性。 AWS DRS 將關鍵應用持續複製到 AWS 雲端並進行持續監控,一旦本地系統出現故障,AWS DRS 可自動啟動雲端副本,並在數分鐘內恢復完整運行。 在數位時代,確保資料安全與業務連續性是企業的生存之道。透過 BaaS 和 DRaaS 的雙重保障,結合 Veeam 的備份技術、AWS Backup 和 AWS DRS 等彈性雲端資料復原方案,企業可以有效降低風險,確保在各種突發情況下依然穩步前行。CKmates 針對資料保護提供顧問級的整體服務,確保企業享有最適切的解決方案,提供包含資料存取、備份備援以及災難備援等一站式資料管理策略,同時保護企業重要資料的合規性,想了解更多災難備援資訊,請即刻與您的雲端數位長 CKmates 聯繫。
You can learn more details here