如何在公有雲上加速基因運算與 Big Data 保存
2019-12-05
國立陽明大學基因體科學研究所,是一所培育新世代生命科學研究及相關生物醫學技術尖端領域人才的搖籃,目前在所內的各項運算計畫,如蛋白體與代謝體研究、高等蛋白質體學、分子酵素學,人類基因定序等這類資料,需要大量的 CPU 運算、高速磁碟與大量空間來儲存計算結果。 基因定序計算,在近年的生技醫療產業非常的盛行,隨著基因數據規模越來越大,對數據分析和數據儲存的需求也越來越多,而在進行臨床或學術規模的計算時,通常會以多人的全基因組來進行同時間的批次運算。 在處理大量的基因樣本時,在調配運算與儲存資源就相當的重要,以目前資料來說,要完成單人的全基因組測序,平均會產生 1TB 以上的有效數據,在運算過程中也會不斷產生暫存數據,而通常這樣的數據規模,也不僅僅只有一個人的部分。除了需要大量的 CPU 進行運算,同時也亟需高傳輸的 I/O 及大型的儲存空間來保存運算後的資料,在這樣的前提與要求之下,還需要有一套良好的軟體框架或 API 來進行大量資源的調配。 在傳統建構大型運算平台上,主要成本包括計算所需的基礎設施(機房建置或擴展計算能力)和計算軟體的本身所需要的成本,甚至可能需要專用的作業系統來用作平行計算的協調等等。而現今的應用場景,許多的企業或學術單位,已經開始思考能否轉用公有雲提供的服務當作平台,而不再需要自行建構基礎設施及軟體。 影響這些關鍵的決策,首先最優先考量的是需要多少成本與評估建構時間,其次會考量所使用的技術,是否能讓現有的使用人員減少使用的磨合時間,結合以上的幾項考量之後,使用者多數考量改用雲服務作為首選。而管控成本,改善計算效率並提高數據價值一直以來都是各種產業長期追求的核心目標,要直接降低成本,目前有幾個項目可以提供給我們做為思考的方向: ● 改變使用軟體的方式: 使用 GATK 軟體更新運算方式,原本使用的程式碼稍加轉換便可套用新的方式。 GATK ( Genome Analysis Toolkit),一套用來分析 DNA sequencing data ,找尋 genomic variation 的工具,由 Broad Institute 開發,目前已被應用在幾個大計畫中,例如 1000 genomes project 、 TCGA (The Cancer Genome Atlas) 。 ● 改變使用運算的方式: 1. 直接減少基礎設施的建置,最直接可以節省成本的最佳方式之一,取而代之的是透過雲計算平台來取代。 2. 運算規模能隨著需求隨時變動,變動的方式可由人為定義或由程式運算式來決定,舉例來說,算單人的基因用 10 個 CPU,算一百個人的基因,用 1,000 個 CPU 節省時間。 3. 可使用大量的運算資源減少其運算時間,同時也達到節省成本的目的。 4. 在需要的時候進行運算,不需要的時候可停用,甚至刪除,並可利用簡單的方式重複布建相同的環境。 ● 長期數據的保存: 1. 提供儲存性價格比更高,且無須擔心空間不足的存儲平台。 2. 提供高可靠性與穩定性。 3. I/O 能依照需求進行調整。 4. 提供高安全性的加密方式,確保隱私資料不外洩。 利用公有雲提供的服務平台,使用者能快速靈活且節省布建運算資源,也不需要在初期建構大量的硬體,再通過傳統的方式來維護更新管理這些硬體,彈性配置所需要使用的資源,減少支出。 新的技術背後,我們會思考如何以雲端業者取代自建服務,轉使用雲端業者建構好的 API 或開箱即可用的服務,由於技術的更新,在以前難以企及的範圍內,透過 API 呼叫對應的功能,並確認需求單位元的流程及商業邏輯,變得更容易使用與交互。 簡言之,從以前繁雜的大規模運算要先建構硬體,安裝軟體,進行資源調配;簡化成只需要簡單的部署與學習基本使用的方式,便能有對應的服務可以使用,而不需要透過瞭解底層架構的建置,申請繁複的建置流程,甚至擴建運算單元,才能進行大規模的運算。 轉換為雲端思維後,許多情況都能透過開箱即可用的服務,迎刃而解,舉例來說,Amazon Batch 將大量的批次運算工作,簡化為使用單純的指令結合 Amazon Elastic Container Service (Amazon ECS) 的容器化技術,包裝進 GATK 運算框架,整合成一個服務並可提供 API 的方式串接,同時提供水準擴展運算,並將計算後的結果儲存於 Amazon Simple Storage Service (Amazon S3),此外運算使用的 CPU 也能選擇適用的機種,如果程式想要調用 GPU 進行加速,僅需要替換適合的運算機型,便可完成變更,除此之外,也方便進行成本控管。這樣彈性化的調整,可以完全符合使用者的運算需求,不需要擔心運算能力不足,或是資源配置太高,而造成大材小用的問題。 最後,運算後的資料,將統一透過可擴展性、資料可用性、安全性及兼具效能的 Amazon Simple Storage Service (Amazon S3) 進行存放與歸檔,如果這批資料要分享給國外的公司或是學術單位進行再利用,也能利用方便且安全的方式共用資料,不用擔心頻寬或檔案大小的問題。 然而,在眾多的雲服務商之中挑選適合的服務再整合應用到內部的情境中,是相當繁雜的過程。 銓鍇國際身為 AWS 認證合作夥伴之一,協助研究單位進行基因體運算的流程改善,有效的節省硬體建置費用,減少取得計算後的時間,改善以往難以使用運算資源還要透過申請,配發資源才能運算等情況,需要的時候進行計算,取得資料後,計算平臺便可關閉,等待有需要的時候再開始計算,大幅度減少計算或耗費的計算成本。 銓鍇國際將協助整合 AI 開發及 DevOps 自動化流程、地端機房與雲端機房的 AI 運算資源配置、針對雲端 AI 所利用資料的安全性,協助利用公有雲的技術自動化作保護等等。在公有雲提供的架構下,透過上述幾種層面的交互利用,不管是專業 IT 公司或非 IT 專業的公司也能輕鬆的從其中挑選適合自己的 AI 開發模式,進而提升企業競爭力。
銓鍇國際 CKmates 以 AWS 端到雲解決方案助製造業優化成本與效益
2019-08-11
工業物聯網由上層雲端平台、中層通訊網路與下層的設備感測三者所組成,其中雲端平台概念問世時主要應用於 IT 系統,工業 4.0 興起後, IT 與 OT 開始整合,才開始被導入到製造系統,因此多數製造業者對此技術並不熟悉,不過銓鍇國際技術架構師主任李明政指出, Amazon 的公有雲 AWS 已針對工控領域推出相關服務,可協助業者以有限資源建置最適化智慧製造系統。 在製造領域, AWS 目前的雲端服務包括物聯網架構、 AI 與邊緣運算等三大服務。在物聯網架構中, AWS 主要產品為針對工業物聯網的底層設備而設計的 IoT Core 。 AI 是 AWS 近年的發展重心,現已推出各種解決方案,包括從底層重新建置、底層已然就緒只需專注上層開發的兩種方案,另外若要加快 AI 開發速度, AWS 也提供已訓練好的 AI 模式,開發者只需選擇適用項目直接套用即可。 邊緣運算是近年來物聯網興起的新概念, AWS 軟體平台是專為邊緣運算系統所設計的 IoT Greengrass 軟體服務,在無網路連線的狀態下, IoT Greengrass 可儲存設備數據,並可選擇導入 AWS 的無伺服器 Lambda 功能進行運算,連上網路後,再將運算結果上傳至雲端,藉此降低系統對網路的依存,除了降低傳輸成本外,也可讓位於網路建置不易環境的設備,擁有 AI 功能。 從功能設計到落地導入, AWS 在公有雲領域的產品已相當完整,製造業更是其中強項,除了物聯網架構、 AI 與邊緣運算外,還提供了大數據分析與機器學習演算法等服務,其自身系統完整性、與製造設備的銜接性在業界都是首屈一指,另外 AWS 為市場公有雲領導品牌,使用族群的討論度高,相關問題容易搜尋到解答,其易用性也是業界最高。 儘管好用,不過多數使用者認為 AWS 價位偏高,導入時會因成本考量而卻步。對此李明政則認為這是使用者的誤解。他指出 AWS 的體系龐大,產品服務數量眾多,不了解者將無法導入合適功能,成本也難以優化,而替市場解決此困擾,也是銓鍇國際的核心業務。 作為 AWS 代理商,銓鍇國際高度掌握 AWS 架構與所有產品,再加上豐富的建置經驗,讓銓鍇國際可以協助客戶,從最初的想法開始逐步落實打造工業物聯網架構,將原有底層設備數據移轉到雲端,並全面提升整體系統的效能、安全性與降低成本,銓鍇國際都可提供完整服務。 銓鍇國際高級工程師古建得表示,在台灣就已有工控領域的客戶透過該公司的服務,建構出效益與成本都非常理想的 AWS 工業雲端架構,此一廠商過去均為自行架設伺服器,透過 VPN 遠端控制 HMI ,後來在銓鍇國際的協助下導入 AWS 物聯網服務,除免去自架伺服器與 VPN 的時間與成本,並以此服務設計出可以網頁連結製造現場 HMI 的介面,若現場的 HMI 發現製程出現異常,管理人員收到警訊後,也可從網頁介面直接修正產線參數,讓製程恢復正常。 李明政指出,在物聯網市場中,台灣廠商擅長基礎建設、終端設備與通訊網路等硬體建置,但最大商機卻是落在資料分析與應用導入這兩部分。銓鍇國際透過對 AWS 的架構掌握與豐富建置經驗,可協助台灣廠商將既有優勢轉移到後兩者,進而掌握到相對豐厚的商機,協助企業打造出兼顧效能與成本的最適化工業物聯網系統。 From DIGITIMES 企劃 - 銓鍇以 AWS 端到雲解決方案助製造業優化成本與效益
How do the enterprises redefine their AI solutions on the public cloud
2019-08-11
By Hans Hsu, Project Solutions Architect, Chuan Kai International Co. LTD (CKmates) The trend of ubiquitous artificial intelligence that began from 2017 to 2018, after two years of development has matured in 2019. How to choose a suitable solution for the business logic of the enterprise in the numerous AI services provided by the public cloud is undoubtedly a significant topic. The AI services provided by the major public clouds that we can classify into three layers: Application Layer Platform Layer Infrastructure Layer The application layer means that the enterprises directly use the out-of-the-box functions provided by the public cloud. Thus, Developers can develop without understanding complex mathematical theories and model concepts. They only use AI functions through API, merely focus on the workflow and business logic of the company instead of cooperating with data scientists and data engineers by a complicated training process. The platform layer refers to the enterprise directly using the development platform provided by the public cloud, enabling enterprises to customize the unique AI features. For instance, AmazonSageMaker integrates the most common tools used by data scientists or data engineers into a service or SDK, can be united and can be scaled the computing performance horizontally; you can also control the model version and replace the appropriate model. In short, there are services available from data cleaning to training models, but the business logic and ownership of the model lies in the company. At the platform level, companies can focus on AI model development rather than managing infrastructure (e.g., operating system updates, hardware updates, etc.) and the installation of related packages, therefore, companies can develop AI features that better meet the business demands. The infrastructure layer refers to the operation of the enterprise to customize the operating system or adjust the underlying parameters of the operating system. The public cloud also provides directly usable computing resources: Virtual machine (EC2), AWS provides flexible NVIDIA GPU (Elastic Graphics, Amazon Elastic Inference) or AWS's EC2 optimized for AI operations and pre-installed drivers and prevalent machine learning and deep learning framework, you can enjoy AWS's fast and efficient AI hardware resources directly after the operating system boot. However, it's a considerably complex process that chooses the right solution among numerous services and integrates them into the enterprise. Ckmates, as an AWS MSP Provider, supports clients with customized solutions for the enterprise, selects appropriate AWS services according to the customer's current technology stack, integrates existing architecture, helps customers set milestones and grows with customers. For example, Assist in combining AI development and DevOps automation processes, AI computing resource configuration in the on-premise data center and the cloud, security of data used by cloud AI and assisting in the protection of public cloud technology. Under the framework provided by the public cloud, through the above-mentioned interactive use of several layers, whether it is a professional IT company or a non-IT professional company can easily select the appropriate AI development solutions from which to enhance the competitiveness of the enterprise. From APAC Business Headline
數字化轉型,突破雲時代數字體驗管理
2019-06-19
隨著雲端的普及,雲端成為眾多企業數字化轉型的核心支撐技術之一,微服務、容器使得眾多分拆後的應用之間構成了複雜的交互關係,使得改進用戶最終體驗面臨挑戰。數字用戶體驗指的是用戶與品牌的所有數位互動的組合,例如從瀏覽品牌網站到在社交媒體上與品牌互動。現今的資訊世界,我們可透過數位化管理了解用戶體驗,或是以公司的需求為出發點,優化系統的架構,強化資料的安全性,提供用戶更快速且安心的服務,透過雲端解決方案提升競爭力。 客戶體驗(Customer Experience,CX)是客戶與一家公司所有互動點接觸後所感受到的滿意度之總和,這包括從意識到公司品牌與產品、諮詢、購買、使用、並體驗售後服務等客戶旅程。我們認為數位客戶體驗 Digital Customer Experience (DCX) 更強調藉由新科技之應用與管理,幫助企業透過雲端解決方案受益,我們可拆分為四大類型: Content Management: 主要是著重在數位內容(包括 網頁、影片、音檔、程式碼等)的快速存取與搜尋,以及跨組織的客戶對數位內容的管理,除了遵照 AWS Well-Architechted Framework 的 Security、Reliability 與 Performance 設計架構外,可以考慮使用 CDN 加速數位內容的存取,在數位內容版本控管部份,簡單的版本控管可以使用 S3 的版本功能,如需進階的版本控管功能,建議使用 CodeCommit 來管理數位內容。 Marketing Automation: 則是專注在安全且可靠的儲存客戶資料及與市場行銷活動有關的資產及追踪資料,行銷活動整體來說包括計畫、預算、協同合作、設計、排程等都需記錄以供日後分析行銷活動的效果。目前我們能協助客戶安全且可靠的儲存行銷活動所需資料,而在未來,希望能結合客戶的商業邏輯與我們的統計人才達成分析行銷活動的成果。 Digital Commerce: 致力於安全且可靠的儲存商品、分類、貨物、購物車、訂單及用戶資料(例持卡人資料),對用戶來說,要有良好的體驗有二,一是來自於快速找到目標商品,二是在交易過程中無安全疑慮,前者可透過加強快速及多樣化的搜尋達成,後者則是透過 PCI-DSS 標準檢驗安全與否。由以上得知,同樣必須遵照 AWS Well-Architechted Framework 的 Security、Reliability 與 Performance 來設計架構,除此之外,因電商客戶需常常改變前端頁面以吸引用戶,所以可透過 CI/CD 流程將部署前端頁面更加彈性化。 Customer 360: 聚焦在安全且可靠的儲存終端使用者(用戶)資料,並從多種不同的資料來源將用戶互動資料轉為用戶側寫檔 (customer profile) ,並可整合不同平台的資料,包括行銷自動化、用戶關係管理、客服與商業智慧。目前我們現階段可以先做到安全且可靠的儲存終端使用者(用戶)資料,並參照 ETL (Extract-Transform-Load) 流程,利用 AWS Glue 收集並轉換不同平台的資料,再用 AWS Athena 載入整合後的資料,下一階段則希望可以利用 AWS SageMaker 做統計或是商業智慧分析。 除了以上所述,回歸 DCX 最初的原則,即是互動的數位體驗,我們可以協助客戶與其用戶建立雙向溝通與回饋機制,例如在客戶系統主動提供未來修改方向,由用戶投票多數決定,並在修改完成後統計用戶的滿意度,客戶可以知道多數用戶的需求,用戶也能擁有參與感,增加對客戶品牌的忠誠度。 另外,我們也可透過消除資訊的不對稱增加用戶對客戶品牌的黏著度,舉例來說,電商的用戶有購買者與販賣者,若購買者在系統中可將有興趣的商品歸類為【想要】、【需要】及【必要】,將資訊去識別化 (De-identification) 後提供給販賣者做為降價促銷的參考,終端用戶獲得良好的互動體驗,進而提升品牌的黏著度,企業創造更多的獲利機會。
中國網路限制多,徒增企業管理困擾
2019-04-25
2019 年 03 月 08 日 CIO 價值學院 第 12 堂課中 銓鍇國際專案經理薛承文說,傳統台灣企業要串連位於中國分公司的網路,大致上會透過 AWS Direct Connect 、 CDN 服務、線路服務、 ICP 備案等等,無論在時間、成本上,都會對企業造成極大負擔,銓鍇國際推出的 CKonnect 雲連接專線正好能夠解決前述種種問題。 自從 1980 年代採取經濟開放政策、大舉放寬外國資金投資後,中國逐漸成為全球製造業的中心,也讓國家經濟發展速度變有如雲霄飛車般的起飛。在高達 13 億人口基礎下,中國已成為全球第二大經濟體,也更吸引包含台灣內的國際企業,於該國設立生產、銷售據點。然而在集權政治的影響下,中國政府對於網路管制也更加嚴格,也讓在當地深耕的企業面臨,跨國應用服務串連、資料交換上的門檻。 綜觀現今企業串連中國面臨的問題,大致上可分成中國雲端自成一國、連線速度慢、品質不穩定、中國境內使用需 ICP 備案、需要中國境內防禦清洗機制等。除前述共同問題外,各產業也面臨不同類型的營運困境,以跨國大型企業中國分站為例,則面臨企業經營資料收集轉移方案複雜、缺乏完整的網路安全配套措施等。 銓鍇國際專案經理薛承文說,傳統台灣企業要串連位於中國分公司的網路,大致上會透過 AWS Direct Connect 、 CDN 服務、線路服務、 ICP 備案等等,包含申請與設定時間,大致上得花費 4~8 周左右,且整體花費費用也相當驚人。無論在時間、成本上,都會對企業造成極大負擔,銓鍇國際推出的 CKonnect 雲連接專線正好能夠解決前述種種問題。 銓鍇 CKonnect 雲連接專線 兼具便利、效能、成本 對佈局兩岸市場的跨國企業而言,一套兼具彈性、成本、效率的私密專線架構,可提供企業搭建私有專屬網路通道,有助於提升企業的連線可靠性與遞送率、改善並避免網路延遲、資料傳輸時的資安風險降至最低,讓企業提升競爭力與應變能力,真正發揮企業雲端化的最大效益。相較於 AWS Direct Connect 、 CDN 服務、線路服務、 ICP 備案, CKonnect 雲連接專線能為企業快速建立一個從本地設施,連接至 AWS 雲端的專用網路連線。如此一來,無論是資料中心、辦公室或主機託管環境相互連接,都能夠享有足夠保障。不只能大量降低網路成本,亦可提高頻寬輸送量,提供較網際網路連接更為穩定的網路體驗。 薛承文認為,在成本、速度之外, CKonnect 雲連接專線還能進一步提供 DDoS 防禦清洗、 WAF 偵測阻擋等資安服務,協助企業免於資安威脅,有效保護資料傳輸過程中的安全。 From: CIO 經理人月刊 2019 年 04 月號 No.94
CKmates: Providing Cloud Services
2019-03-25
Integrity and commitment are the two significant traits which customers look for when they are choosing their partners for business. While integrity is a foundational ethical principle of a company based on character and trustfulness, commitment is essential for tailoring solutions according to the needs of consumers. Organizations having these two traits ingrained in their work culture become the trustable partners of consumers in the long run. CHUAN KAI INTERNATIONAL CO. LTD (CKmates) is one such company whose mission is built on these true traits. Specialized in providing customers with the most suitable environmental planning, the company helps its customers with improving IT efficiency and digital transformation. Whether it’s building a physical computer room on test the ground or planning a virtual server or migrating to the cloud or even to a hybrid cloud infrastructure, CKmates can help organizations in every step of the way. With the enthusiasm for technology and commitment to consumers, the company has developed special service solutions such as operational basic optimization services, Taiwan connect to China network connect solutions, and log management solutions. Besides these services, CKmates provides best-in-class services such as AWS New Generation Hosting, CKonnect cloud dedicated network connection , Deep Security Cloud Security, INSTAWATCHER inventory AWS account platform, and other security services. Recognized as the first AWS Channel Reseller partner in Taiwan, the company continues to invest in the public cloud innovation field, and is also the ISP (Internet Service Provider). With over ten years of experience in the industry, the company is all set to lead the transformation in various industries—right from cross-border e-commerce service to online gaming and online streaming and many more. To achieve this, the company has been building a ground-breaking machine room and cross-strait network solution for many years, and is also expected to complete the development of its own cloud system management products, which can be integrated with Amazon AWS, Google GCE, Windows Azure and other cloud platform to develop hybrid cloud hybrid cloud infrastructure. “Various types of cloud services have become the universal value of today's industry services. The "hybrid cloud" architecture advocated by CKmates for many years has gradually become the most pragmatic and stable way for companies to face market trends.,” says Hanson Ho, GM, CK mates. But yet, many companies face challenges when it comes to cloud implementation. Although they have a deep understanding of the trends and values of cloud services, many of them face challenges in the process of implementation and that lead to setbacks and stalls. This is where CKmates come in. As a leading cloud service provider in the Asia-PACIFIC region, the company not just helps in the process of implementation but also helps them in solving the blind spots that users themselves are not aware of. “When companies are on the cloud, they can use the cloud platform to construct a disaster recovery environment. Through automated mechanisms, they can ensure that the remote database is updated synchronously without human intervention, so that the cost-effectiveness of equipment investment and manpower maintenance can be immediately realized,” explains Hanson Ho. Unlike the other service providers that just promote their specific services, the company promotes a comprehensive cloud plan. For instance, when customers want to save more resources to migrate their IT systems, the company helps them overcome difficulties and provide effective recommendations after deep inspection of their structure, such as configuring AWS firewall policies. Not to mention the company’s ability to ensure user security in the cloud. Besides its around the clock services, the company covers every aspect of information security right from the vulnerability scanning and penetration testing security incidents to quickly identifying the monitoring points through the monitoring of big data. In today’s business landscape, organizations no longer just need an AWS service agent or hosting provider: they need a solution provider that can combine AWS cloud services, host IDC and security. Taking this into account, the hosting and security team at CKmates has developed special service solutions such as operational basic optimization services, cross-strait network connection solutions, and log management solutions. At the same time, the company is also actively deploying and developing a number of vendors with rich experience and product strength. To provide customers with a more complete connection experience, the company has recently launched CKonnect (Cloud Direct Link) that provides high-quality direct link and combines CKmates’ AWS professional consulting services. “They not only meet the needs of domestic and international business connections, but also combine the most complete AWS technical service supports— from planning, building optimization, and improving the quality of the connection,” adds Hanson Ho. The company going forward intends to develop its cloud management platform in 2019 and integrate with many cloud platforms such as Amazon AWS, Google GCE, Windows Azure and Alibaba cloud. “Under the wave of technology, the era of accelerated launch of AIOT business opportunities has arrived. More and more SI providers are striding towards application development,” states Hanson Ho. While developing new technologies also, the company pays close attention to the importance of information security, and hope to ensure the security of IoT through the security strength and continue to invest in the next generation. From: APAC Business Headlines
活用公有雲技術、強化創新力,邁向轉型之路
2018-12-12
現今各產業均面臨數位創新或轉型上的艱鉅挑戰,所以創新與轉型要從企業的策略方針開始,以各種 IT 技術來驅動商業模式,且預先具備各種人才,才能滿足企業轉型所需。 在 2018 年 11 月 09 日的 CIO 價值學院第五堂課中,銓鍇資深業務經理分享如何利用雲微服務,撐起一片天。 銓鍇國際資深業務經理駱蕭豪說,在雲端蓬勃發展的趨勢下,無伺服器計算已成為世界主流,且有眾多難以取代的優點,如可隨時依照營運需求建立和執行應用程式與服務,可免去維護實體伺服器的成本支出。 活用公有雲技術 可口可樂提升專案效率 可口可樂是全球知名飲料公司,其飲料產品在世界各地均獲得消費者歡迎,為讓消費者隨時取得所愛的產品,在各地安置不需要人工服務的自動販賣機。而在行動支付成為主流時代,該公司也著手開發可搭配販賣機使用的行動支付系統,在降低開發成本與加速專案執行速度下,可口可樂選擇使用 AWS EC2 服務,讓開發團隊在無後顧之憂的前提下,寫程式時間比例從以往 39% 提升到 68% 。 至於專注於無線監控和控制服務的 Centratech Systems ,需要一個可管理電力與水資源管理的物聯網平台。在考量營運成本與回應市場速度下,該公司選擇引進 AWS IoT 平台,並且在該平台上運行監控和控制系統,進而為客戶提供更簡單、成本更低的設備。 AWS IoT 平台提供強化的安全性服務,可降低該公司管理設備的時間成本,讓現場技術人員的生產率提高 50% ,同時把培訓時間從 6 小時縮短為 1 小時。 銓鍇國際資深業務經理 駱蕭豪說,長久以來伺服器在企業發展過程中,扮演非常重要且難以取代的地位,但其實也成為拖累公司發展的包袱。在雲端蓬勃發展的趨勢下,無伺服器運算 (Serverless) 已成為世界主流,且有眾多難以取代的優點,如可隨時依照營運需求建立和執行應用程式與服務,可免去維護實體伺服器的成本支出,並且可快速佈建、擴展和管理任何虛擬伺服器。 免去設備維護工作專注創新專案 備受全球客戶歡迎的 Amazon Web Services ,提供各式各樣的全球雲端產品,包含運算、儲存、資料庫、分析、網路、行動、開發人員工具、管理工具、 IoT 、安全和企業應用程式。這些服務能協助組織更快速地運作、降低 IT 成本及擴展。目前最大型企業和最熱門的新創公司,都信任 AWS 為各種工作負載提供技術支援,包括 Web 和行動應用程式、遊戲開發、資料處理和倉儲、儲存、存檔等等。 駱蕭豪說,公有雲服務會受到企業歡迎的主因,在於實體伺服器硬體規格、作業系統很複雜,資訊人員很容易陷入該選何種伺服器規格、該選擇何種作業系統才適合伺服器運作、新程式碼該如何佈署到我的伺服器、該如何橫向與垂直擴展、現有實體伺服器還剩多少資源等問題。正因如此,反而會拖累企業投入創新專案的速度,自然帶動企業將應用系統轉移到公有雲服務的意願。 From: CIO 經理人月刊 2018年12月號 No.90
AWS WAF 與 安全開發
2018-11-23
隨著資訊安全觀念的加深,以及層出不窮的資訊安全事件,程式開發不再只是資考慮效能及功能面, Security as Code 成為了現今開發人員必須優先考量的第一要件。但伴隨著快速的軟體開發模式,以及許多新興技術的加入,不論是雲端運算、容器技術 (Container)、大量使用 API 介接及開發框架,都使得資訊安全問題變得越加複雜。 新技術所面臨的挑戰: 隨著雲技術的快速發展,開發及部署的速度變得越來越快,確保雲服務安全成為安全人員的新課題:在部署雲服務的同時,必須同時兼顧安全控制並且盡可能的自動化,即是所謂的 Security as Code 的觀念。 在 DevOps 環境中所使用的 DevOps 工具方面我們可以針對幾個方向來來做探討: 存儲和管理代碼的 DevOps 工具:以 Jenkins 用於整合 GitHub 為例,使用者須知如何管理權限、 Jenkins 可調用的日誌及了解代碼掃描程序,確保代碼中不包含加密密鑰或密碼。 部署編排工具:使用者需熟悉工具配置模板和策略評估模板,使其符合互聯網安全規範及其他建議最佳作法。 存儲和訪問登入憑證和密鑰的 DevOps 工具:使用者應確保資安人員能獨立稽核訪問並發送日誌至遠端日誌記錄庫。 然而 Security as Code 雖然是確保雲服務最有效的方法,我們仍要注意防範未知的網路攻擊。以 OWASP TOP 10 為例,在 2017 年, OWASP Top 10 除了過去常見的問題:Injection (注入攻擊) 、無效身分認證和 Session 管理 (Broken Authentication and Session Management) ,以及跨站腳本攻擊 (Cross-Site Scripting, XSS) 之外,更是大動作的新增三項全新的資安風險:針對各平臺常見的 XML 外部處理器漏洞 (XML External Entity, XXE) 、 Java 、 PHP 或 Node.js 等平臺常見的不安全的反序列化漏洞 (Insecure Deserialization) ,以及 「紀錄與監控不足風險」(Insufficient Logging & Monitoring)。由此證明,網路世界中時刻面臨著各種瞬息萬變的資訊安全威脅與挑戰。 隨著雲端技術及微服務的大量應用,導致軟體開發人員面臨的問題越來越多樣化。其中「紀錄與監控不足風險」的問題,更使得許多資訊安全事件在爆發初期無法即時的處理,導致企業的損害擴大。以資料外洩為例,使用者往往要超過半年以上才有可能察覺外洩事件的發生。 透過 AWS 認證夥伴 強化企業安全體系: 然而, Security as Code 並非一朝一夕可以實現,快速開發及安全一直以來都是個難解的問題,如何兼顧企業安全並使開發人員專注、安心的開發程式是銓鍇國際 (CKmates) 身為 AWS 認證夥伴一直以來所重視的。 在傳統的機房架構中,使用者需要先期規劃 IPS/IDS、WAF 等防禦措施,且後續仍須針對設備規則進行調校及維護,更別提後續建立 SOC 部門分析預判攻 擊資訊,對於一般中小型企業體的使用者而言,這將會面臨相當大的技術與成本門檻。然而,在透過銓鍇國際資訊安全服務的協助下, 客戶可在 AWS 上通過雲的特性快速佈建 AWS WAF 在每個服務節點上,搭配 AWS Shield 進行第 3 與 4 層 (Layer 3, Layer 4) 的 DDoS 攻擊防護,以及針對應用程式的第 7 層 (Layer 7) 攻擊防護。 依照客戶需求,更可搭配 Amazon GuardDuty 與 Amazon Inspector 對雲端環境的安全,以及應用程式進行自動的安全評估。此外,亦可啟用 Amazon Macie 透過機器學習自動探索、分類與保護使用者在 AWS 雲上的敏感資訊,以落實 Security as Code 。如同初 期建置規劃一般完美地與架構重合,使用者也可隨時依照需求選擇更換各家第 三方資訊安全廠商的 WAF Rules ,並在銓鍇國際的協助下,確保自己的前端防禦資訊永遠在第一線。 圖例中展示一個真實的客戶案例,銓鍇國際透過資訊安全服務成功幫某家大型的電子商務平台導入防禦架構:前端套用 AWS WAF 與 AWS Shield 防禦方案,後端主機使用 AWS ALB (Application Load Balancer) 負載均衡擴展,將 AWS WAF Log 透過 Kinesis Data Firehose 收進 Amazon S3 以及將相關的 Web Service Log (如:Apache Log 及 Application Log) 也收進 Amazon S3 進行保存,並同步備份至銓鍇國際的 SIEM 平台進行即時分析與監控。 一旦發現異常時,先由銓鍇國際的 7x24 SOC 網路監控團隊進行初步判斷,過濾掉誤判狀態,隨即將異常狀態進行通報,過程將依照標準預先決定的處置流程 (Standard Operation Procedure, SOP) 進行,並協助客戶進行資訊安全狀況排除。危機解除後,所有資訊安全事件過程紀錄與處置的資料,將在後續由專業的資訊安全團隊接手進行 Log 分析、協助客戶調整 WAF 防禦規則及撰寫相關的事件報告與調整建議交給客戶。 銓鍇國際是您最佳雲端服務安全後盾: 銓鍇國際資訊安全團隊結合過去實體機房管理經驗,除針對過去常見網路攻擊 進行防禦,讓使用者有足夠的時間發現漏洞並修補,並規劃了完整的紀錄及監 控模式,確保使用者即便面對未知的新興攻擊 (0-day) ,仍可及時地發現並採取相對應的防禦措施。此外,銓鍇國際也秉持著循環式品質管理 (Plan-Do-Check- Act, PDCA) 的精神,透過不斷的與客戶溝通,持續改進並調整監控流程,以作為您上雲的最佳資訊安全後盾。
You can learn more details here