企業導入 ISO 27001 (ISMS) 關鍵指引!AWS 資安服務讓你放心符合安全架構
2024-09-02
隨著企業數位化觀念普及的時代,企業將越來越多的資訊系統遷移至雲端,資訊安全的重要性已越趨重要,然而,資訊安全風險也隨之增加。ISO/IEC 27001:2022 作為國際知名的資訊安全管理系統標準,提供了一個全面的框架,協助組織建立、實施、維護並持續改善資訊安全管理,當企業通過了 ISO 27001 的認證,就代表企業的資訊安全管理已經建立了一套有效的管理體系作為保障。而 AWS 作為全球領先的雲端服務供應商,如何透過完整的資安服務,讓企業能更輕鬆達到對於雲端資訊安全的要求,確保運營的穩定性和合規性。 ISO/IEC 27001:2022 組織控制措施中,其中針對雲端服務已特別列出項目,5.23 「使用雲服務之資訊安全」 (Information Security for use of Cloud Services ) 。控制措施:宜依組織之資訊安全要求事項,建立獲取、使用、管理及退出雲端服務的過程。 。目的:規定並管理使用雲端服務之資訊安全性 。指引與實務做法:企業組織應與雲服務供應商合作,以公司規範為主軸搭配已使用的框架來制定使用雲服務之相關政策,以及明確討論安全風險的評估,進行相關風險評鑑。滿足數據保護、身份和訪問管理、日誌記錄和監控、基礎設施安全、配置和漏洞分析的合規性需求等等,以及利用有效的資安防護,依照資安事件通報處理流程或是進行資料備份及還原作業等。 5 大 AWS 資安服務 以 AWS 提供的資安服務,區分五大類來進行安全、身分及合規性的服務提供。 1.身分與存取管理 AWS Identity Services 可協助您安全地大規模管理身分、資源和許可。利用 AWS 的管理,您的人力及面對客戶應用程式的身分服務可快速展開,並可管理工作負載和應用程式的存取。例如以 IAM 來精細控制誰可以訪問哪些資源,確保只有授權人員能夠接觸敏感數據。 2.偵測與回應 AWS 偵測與回應服務會持續識別安全風險並排定優先順序,同時在開發生命週期的早期整合安全實務,藉此協助您強化整個 AWS 環境的安全狀態並精簡安全操作。例如以 AWS CloudTrail 來記錄和監控所有的資源變更,確保符合性和透明度,或是 Amazon GuardDuty 持續監控其 AWS 環境中的惡意活動和未經授權的行為。 3.資料保護 AWS 可協助您保護資料、帳戶和工作負載免受未經授權的存取。AWS 資料保護服務提供加密功能、金鑰管理和敏感資料探索,以協助您保護資料和工作負載。例如以 AWS Key Management Service (KMS) 服務來管理加密密鑰,確保數據在雲端中的安全性。 4.合規 AWS 為您提供合規狀態的全面檢視,您也可以使用自動化的合規檢查,根據組織遵循的 AWS 最佳實務和產業標準,持續監控您的運作環境。 5.網路與應用程式保護 AWS 網路與應用程式保護服務可協助您在組織範圍內的網路控制點強制執行精細的安全政策。AWS 服務可協助您檢查和篩選流量,以防止在主機、網路和應用程式層級邊界進行未經授權的資源存取。 搭配使用 AWS 資安服務來實施 ISO/IEC 27001:2022 中 5.23 條款的控制措施,不僅能簡化合規過程,還能顯著降低我們的風險與管理成本。AWS 提供的資安解決方案已經被廣泛驗證,不僅符合國際標準,更有即時更新與自動化的管理功能,能夠大幅減少我們自行部署的複雜性與人力投入,不但能符合 ISO 制定規範,亦能保護其雲端資產的機密性、完整性與可用性。 CKmates 銓鍇國際具備專業資安團隊,我們提供 7X24 資安監控,並定期進行 AWS 架構健診服務,提供優化報告與改善建議,是您的最佳資安守門員!歡迎聯絡我們。
「開箱即用」AWS AI Solution Kit:告別繁瑣實體資料,AI 發票、表單、文件辨識處理自動化!
2024-08-06
您的企業是否還在為堆積如山的紙本文件感到困擾?員工是否疲於應付繁瑣的文件處理工作,導致效率低下?傳統紙本文件處理,不僅耗時費力,更可能因人為疏失導致錯誤,成為企業數位轉型的一大絆腳石。CKmates 將介紹如何運用 AI 技術,自動掃描辨識資料轉換成數位檔案,並連結至您的自有軟體,簡化時間以及人工成本。 什麼是 AI Solution Kit? AI Solution Kit 是 AWS 針對 AI 技術所提供的開箱即用整合解決方案,其中包含光學字元辨識 (OCR)、圖像理解、自然語言理解 (NLU)、人臉檢測等。 以上功能皆為「開箱即用」,可透過 Amazon API Gateway 自動創建 RESTful API,您可以依照所需要的解決方案內容,選取需要的 AI 模型,若有不同的需求也可以進行客製化靈活調整。 此次我們需要使用到的內容為光學字元辨識 (OCR),以下將詳細講解其用作內容以及。 圖/AI Solution Kit提供各式與影像辨識有關的商業應用,皆為隨需啟用! 什麼是 OCR (光學字元辨識) OCR 技術是將圖像或掃描文件中的文字轉換為可編輯、搜尋的數位格式的關鍵。AWS AI Solution Kit 提供多種 OCR 引擎,將文件轉換為機器可讀取的數位化檔案,高階 OCR 模型可支援簡體中文、繁體中文、越南文、日文、韓文、英文等多種語言,以及數字、字母和符號的辨識,客製化 OCR 模型可依據特定格式文件(如發票、表單)建立模板,提升客製化辨識效率。此方法可以運用於各產業,如醫療業者可運用 OCR 處理患者紀錄,簡化醫院手動工作;又如銀行業者可以運用 OCR 技術處理借貸文件等,除了降低出錯率,借數位化並增強交易安全性。 AWS AI Solution Kit 與 OCR 運作方式 AWS AI Solution Kit 透過電腦視覺技術分析文件圖像,精準辨識表格結構,如邊框、線條與儲存格。結合機器學習模型,從大量數據中學習,大幅提升辨識的準確性。辨識表格後,AWS AI Solution Kit 進一步分析其結構: 列與欄的偵測:找出水平與垂直線條,精確定位列與欄。 儲存格的分割:將表格分割為獨立儲存格,並判斷合併情況。 表格關係的建立:理解儲存格間的關係,如哪些儲存格屬於同一表頭。 接著,AWS AI Solution Kit 的 OCR 引擎辨識每個儲存格的文字內容,並將文字與對應的儲存格關聯。最後,AWS AI Solution Kit 將辨識出的表格及欄位資料轉換為結構化且易讀的 JSON 格式,方便後續的資料處理與分析。 圖/企業的各式紙本資料,可透過AI Solution Kit的OCR技術數位化, 針對轉換為JSON格式供自有系統介接。 此次商業應用演示為企業經典的發票報銷自動化流程,雲端架構為經典的無伺服器 ML 架構,透過 AWS AI Solution Kit 進行資料萃取後,使用 Amazon Bedrock 進行大語言模型的分析後,歸檔進入企業用的資料庫。此架構將運用 AWS API Gateway 以及 AWS Lambda 的無伺服器架構,結合 Amazon Sagemaker 的 AI 模型託管能力執行影像辨識模型的運作,並整合 Amazon Bedrock 強大的 AI 分析能力對發票影像辨識的結果做格式化的整理後,輸入至企業資料庫以利後續企業商業流程。 圖/此次範例所使用的企業報帳用發票明細。 如上圖,此次所使用的無伺服器以及 Amazon SageMaker 託管模型架構,其中Amaon API Gateway 作為端點可介接企業自有軟體,AWS Lambda 可串接模型功能與自有商業邏輯,Sagemaker 託管AI影像辨識用所需之AI模型,並且運用Bedrock進行AI 大語言模型的文本處理、分析及格式化。 AWS CloudFormation 將基礎設施視為程式碼,可讓您對 AWS 和第三方資源進行建模、佈建和管理。透過 CloudFormation,使用者可以迅速部署 AI Solution Kit 解決方案架構。 透過程式化 API 串接後,取得該發票的影像辨識結果。 透過 Amazon Bedrock,可以有效分析與整理此發票的內容成為指定格式。 將最終的資料放入企業資料庫,作為後續商業應用。 綜上範例,我們可以看到透過 AWS AI Solution Kit,可以大幅提高實體紙本至數位化商業應用的效率與精準度。此解決方案不僅簡化了紙本資料處理流程,因為採用了AWS Lambda 等無伺服器服務,企業無需管理基礎設施,可專注於業務邏輯的開發,更透過機器學習模型實現了高度自動化,快速將紙本資料轉換為有用資訊,減少了人為錯誤的風險,加速數據分析與決策! 銓鍇國際 CKmates:您企業數位轉型的最佳夥伴,引領您邁向智能未來 CKmates 助您運用雲端技術,節省成本,我們提供全天候的雲端專業服務,並提供完整的企業資料治理及資料處理解決方案,結合 AWS AI Solution Kit 的強大功能,幫助您成功實現 AI 時代的企業數位轉型,引領您邁向智能未來! AWS AI 服務系列專欄: 運用 AWS 打造生成式 AI !多元產業應用指南 電商必備 AI 行銷神器!如何運用 Amazon Personalize 黏住客戶、提升業績 ChatGPT 最強大的競爭對手 - Claude 2.1 現已被 Amazon Bedrock 支援 打造最了解您的企業級生成式 AI 助理!Amazon Q 使用指南
打造最了解您的企業級生成式 AI 助理!Amazon Q 使用指南
2024-07-01
近兩年開始生成式 AI 蓬勃發展,許多相關應用紛紛出籠,AWS也順勢推出了他們個人的生成式 AI 平台 Amazon Bedrock,使用者可以根據選擇不同應用場景選擇最適合他們的大語言模型進行相對應的文字及圖片生成。但終端使用者更希望的是企業來協助他們打造出一個更貼近他們需求以及懂相關特定領域的個人 AI 助理,同時也必須要符合資安和合規要求。AWS 在今年( 2024年)四月正式對外宣布企業級生成式 AI 助理 Amazon Q 已經可供使用。本篇我們將探討 Amazon Q 如何協助使用者提升工作的效能。 什麼是Amazon Q? Amazon Q 是一款創新的 AI 助理,專為企業量身打造。它能夠連接到您公司的各種資源,包括資料庫、程式碼、數據和企業系統。透過與 Amazon Q 對話,您可以輕鬆解決問題、生成內容、獲取洞見,並採取相對應的行動。 Amazon Q 為員工提供即時且相關的資訊和建議,大大提高了工作效率。它不僅能簡化日常任務,還能加速決策過程,幫助解決複雜問題。更重要的是,Amazon Q 有助於激發員工的創造力,為企業帶來創新動力。無論是日常工作還是重要決策,Amazon Q 都能為您提供強大的支援,讓您的工作更加智慧、高效。 Amazon Q 能夠依據您企業現有的身份認證系統、角色劃分和權限設置,為每位用戶提供個性化的互動體驗。最重要的是,AWS 高度重視您的資料安全和隱私。AWS 承諾絕不會使用您在 Amazon Q 中的任何客戶內容來訓練其底層模型。這代表您的公司資訊始終保持安全和私密,讓您可以放心使用這一強大的 AI 助理。 Amazon Q 在 AWS 介面上無所不在,打造 AI 全面體驗 為了更大力地來推廣,AWS 開始將許多 AWS 原生的服務整合 Amazon Q,這邊整理如下 1. AWS Console右側 當您登入至 AWS Console 時,在右側就有 Amazon Q 的身影,您可以詢問它關於 AWS 相關的問題,如果問超出這個範圍之外的問題,它也不會隨意回答,只會回覆您他不知道或是非 AWS 服務範圍的問題它也不會亂產生回答。 2. Amazon Q Business 跟一般常見的網頁生成式 AI 工具相同,Amazon Q 也是透過了網頁提供使用者使用,當你問他問題時他回答的範圍只會是您提供給他的資料,並不會有一般生成式 AI 一本正經胡說八道的狀況發生。 除了串接上述資料來源之外,您還可以串接企業系統,包括 ServiceNow、Jira、Salesforce 和 Zendesk。外掛程式使 Amazon Q 能夠執行使用者請求的任務,例如建立支援工單或分析銷售預測。 3. Amazon Q Developer Amazon Q Developer 除了可以列出 AWS CLI 語法之外,更可以與 AWS CodeWhiperer 結合使用,如果您的程式碼是比較舊的版本,Amazon Q Developer 會協助您列出可以修改的程式碼,並提供修改範例供您參考,讓程式碼現代化的工作負擔大大降低。 4. Amazon Quicksight 生成式 BI Amazon Quicksight 生成式 BI 也是透過整合 Amazon Q 的技術透過自然語言搜尋在 BI 報表裡面的一些商業洞見,詳細的介紹可以參考: AI 賦能時代下的 Amazon Quicksight 生成式 BI 解決方案 Amazon Q 該如何串接到公司的資料來源?能串接那些資料來源? 您除了可以透過將公司資料上傳到 Amazon S3、網頁爬蟲或是直接上傳檔案,Amazon Q 也支援相當多的第三方來源,例如:Dropbox、Google drive、Onedrive 等資料來源。 Amazon Q 使您在享受 AI 的便利之下還能保持高安全性及合規性 許多企業在享受生成式 AI 助理的同時也會擔心內部機敏資料外洩,Amazon Q 提供了多層次的控制選項,讓您能夠靈活管理系統的回應方式: 全局控制(Global control) 您可以設定系統是否僅使用大型語言模型(LLM)生成回應,或是從已連接的資料來源中取得訊息。這代表您可以選擇是否只使用企業內部資料來回答問題,或在找不到答案時允許 LLM 生成回應。此外,您還可以設置特定詞彙,例如:成人字眼、暴力、種族歧視等字眼的屏蔽功能。 主題級別控制(Topic-level Control) 針對特定主題,您可以制定更精細的規則。例如,您可以設置某些受限主題,並為這些主題配置特定的行為規則。這些規則可以包括只使用企業數據回答相關問題,或者完全阻止系統對某些主題作出回應。 透過這些靈活的控制選項,您可以確保 Amazon Q 的回應始終符合您的企業政策和安全要求,同時最大化其實用性。無論是保護敏感訊息,還是確保回答的準確性,這些功能都能幫助您打造一個既智能又安全的 AI 助理系統。 一年一度的盛事,2024 AWS 台灣雲端高峰會,將於 7 月 23 日和 24 日在台北國際會議中心隆重舉行。本屆高峰會特設生成式 AI 專區,將展示 AWS 在生成式 AI 領域的最新突破,包括創新的 Amazon Bedrock 服務以及上述為您介紹的 Amazon Q 最新服務,不僅能深入了解 AWS 的先進 AI 技術,並通過互動展區親自體驗多元的 AI 應用。更多活動內容:https://pse.is/6576c5 AWS AI 服務系列專欄: 運用 AWS 打造生成式 AI !多元產業應用指南 電商必備 AI 行銷神器!如何運用 Amazon Personalize 黏住客戶、提升業績 ChatGPT 最強大的競爭對手 - Claude 2.1 現已被 Amazon Bedrock 支援
如何應對 VMware 改訂閱制?「搬遷上雲」成企業解方
2024-05-22
在2023年年底Broadcom併購VMware後, 日前 Broadcom 再度宣布決定將VMware 的授權模式從永久授權轉變為訂閱制。這一轉變對於地端使用 VMware 的用戶造成影響,據美國 NAND Research 研究機構分析報告指出,VMware 更改為訂閱制,長期來看,可能會使企業整體 IT 支出增加,使企業重新評估其 IT 資本支出和基礎設施策略,而「上雲」也成為企業的解方之一。 Broadcom 併購 VMware 後,決定將 VMware 旗下的產品改為訂閱制,並且將授權合併成為VMware Cloud Foundation (VCF)、VMware vSphere Foundation (VVF)兩大核心產品,其他產品須以額外訂閱的方式購買。這代表著過去企業一次性購買永久授權的方式將不再適用。 新的授權模式規定,最低須購買 16 Core 的授權,這對許多中小型企業來說,有可能導致成本上升,使企業重新評估其 IT 資本支出和基礎設施策略,如轉換使用其他地端虛擬化平台,或將地端機房部署在公有雲上,不僅能幫助企業降低成本,還能提供更多的靈活性和擴展性。 AWS 三步驟助地端 VMware 客戶搬遷上雲 面對 VMware 銷售模式改變,將地端機房搬遷至 Amazon Web Services(AWS)成為一個非常具有吸引力的選擇,同時也實現了數位轉型。而在整個遷移過程中,找到一個可靠的合作夥伴至關重要。CKmates 作為 AWS 的 Migration Competency 合作夥伴,擁有豐富的國內外搬遷經驗和專業知識,能夠全程協助企業完成地端機房的雲端遷移。我們設計三個步驟來幫助企業完成雲端遷移,確保他們能夠順利地從地端機房搬遷至雲端,並充分享受到雲端所帶來的優勢。 前期評估(Assessment) 在這個階段,CKmates 會與企業合作,深入了解其現有的 IT 基礎設施和應用需求。通過詳細的評估,我們能夠幫助企業確定哪些應用和工作負載最適合搬遷至雲端,並選定在雲端上會使用到的服務規格、提供相應的總持有成本(TCO)和遷移建議。客戶或是合作夥伴可以透過 AWS Cloud Adoption Framework(AWS CAF) 架構並使用 AWS Cloud Readiness Assessment (AWS CRA) 工具來評估可遷移上雲的資源是否準備完成。 正式搬遷(Mobilize) 一旦完成前期評估並確定了遷移策略,我們將協助企業進行實際的搬遷過程。這包括數據遷移、應用程序部署和系統配置等。在這個階段,會確保所有系統在雲端能夠正常運行,並且對應的性能和安全性得到保障。 如果是 VMware 的服務可以透過 Application Migration Service (AWS MGN) 進行抄寫並搬遷上雲。或是透過 AWS VM import 的方式透過匯出成 OVA(OVA/OVF) 檔匯入到 AWS 上。在搬遷的過程當中,如果不想走公有網路進行傳輸,可以建議拉 AWS Site to Site VPN 或是 Direct Connect 走加密連線傳輸上 AWS,提升網路傳輸安全度。 架構優化(Modernize) 遷移完成後,CKmates 並不會止步於此。為了確保企業能夠充分享受雲端的優勢,我們會進一步優化其雲端架構。這包括性能優化、成本管理和安全性加強等。例如:使用 AWS 上的託管式服務,讓管理的效率更加提升、啟用 AWS 上資安服務提升網路安全性,透過持續的優化,企業能夠最大化雲端投資的回報。 CKmates:您的 AWS Migration 合作夥伴 在這個快速變化的數位時代,雲端遷移無疑是企業保持競爭力的關鍵。遷移至雲端不僅僅是技術上的改變,更是企業業務模式和工作流程的全面升級。企業可實現更高的靈活性和敏捷性,快速應對市場變化,降低運營成本,提升業務效率。此外,雲端還提供了全面的資安防護和資料備份功能,保護企業的核心資料不受各種威脅。 CKmates 提供經認證的遷移步驟,並擁有專業團隊技術能力以及豐富的遷移經驗,使企業可以更輕鬆地實現數位轉型,享受到雲端技術帶來的多重優勢。無論是初次遷移還是雲端架構的優化,我們都能提供全方位的支持,確保遷移過程順利進行。在遷移過程中,CKmates 將會與您的團隊密切合作,提供詳細的技術支持,幫助員工熟悉新的系統和工作流程。想知道更多雲端遷移的內容,歡迎聯絡您的雲端數位長 CKmates。 作者: CKmates AWS Ambassador Tony Chung 雲端遷移系列專欄: 雲端遷移策略解密! 4 種雲端服務有效取代地端機器 【雲端遷移專欄 I】Why migrate to the AWS Cloud? 【雲端遷移專欄 II】想要雲端遷移?資深雲端架構師親自傳授遷移心法 【雲端遷移專欄 III】影響雲端遷移成功的關鍵因子:「評估策略」與「完善計畫」 【雲端遷移專欄 IV】善用 AWS 原生遷移工具 使雲端遷移事半功倍
運用 AWS 三大資安功能 打造零信任雲端架構
2024-04-30
作者: CKmates AWS Ambassador Tony Chung 在去年 9 月中華民國數位發展部對外發布了,導入零信任身分驗證的架構,也因為目前地緣政治的影響及數位轉型的浪潮逐漸地從企業端推向了公部門的非核心系統。雖然上雲是一個趨勢,但如何打造零信任的安全雲端架構絕對是評估的重點。本篇文章,將帶您探討除了一般雲端的資安基礎設定之外,還能透過什麼 AWS 的服務及應用能夠達成雲端零信任。 什麼是零信任?為什麼要做? 在過往的公司網路環境中,通常都會將辦公環境切分為不對外的內網、一般辦公區域以及對外聯網的 DMZ (非軍事區域)。零信任(Zero Trust)其實指的是一種資安概念,「永不信任,永遠驗證」是零信任的口號,實際上的意思是指要打破過往的內外網隔離機制,任何的存取都要經過驗證、加密以及授權之後才給予人員或是服務存取權。 會催生零信任架構主要有以下三個原因: 1.遠端辦公的人數越來越多 因為前幾年疫情的關係,所以為了保持企業營運不中斷,許多遠端辦公的需求也大量增加,一般公司通常會將只能在公司內部瀏覽的檔案或系統放在內網,在外部辦公的同事透過遠端連線 VPN 的形式連回公司進行資料存取。 然而,VPN也有幾項的資安風險,因為通常經過帳號密碼驗證過後的使用者都會被賦予最大權限,所以駭客可以透過有漏洞的憑證或是VPN軟體入侵至企業內部網路。入侵網路後因為權限太大所以能夠任意瀏覽相關機敏資訊。 2.資安及合規需求不斷變化 隨著科技的進步,資安威脅也日益複雜。駭客的手法不斷進化,傳統的資安防護措施已經無法有效抵禦攻擊。零信任架構可以提供更強大的資安防護,以因應不斷變化的資安威脅。 零信任架構可以幫助企業滿足以下資安及合規需求: 保護敏感資料:零信任架構可以透過最小權限原則和持續驗證來保護敏感資料。 降低資料外洩風險:零信任架構可以減少資料外洩的風險,因為駭客即使取得了使用者的憑證,也無法存取敏感資料。 滿足法規要求:零信任架構可以幫助企業滿足各種法規要求,例如《通用資料保護規範》(GDPR)。 3.需要更精細的權限控制 傳統的安全模式通常會將使用者劃分為幾個大類,並賦予每個類別相應的權限。然而,在實際應用中,這種粗粒度的權限管理可能會導致安全漏洞和資源浪費。零信任架構通常採用更細緻的權限控制,將每個使用者或設備的訪問權限細分到最小單位,根據需要動態調整。這樣做不僅可以降低潛在的風險,還可以最大程度地提高資源利用率,從而使企業更具彈性和效率。 三大 AWS 資安神器,帶您佈建端到端零信任架構 在這個段落中我們將分為三個部分,在外部工作的人要存取服務、服務之間存取以及開放給外部系統存取如何做到零信任: 1.外部工作的人要存取服務 因為疫情大多數的員工都有遠端辦公的需求,目前大部分的公司都是透過遠端 VPN 連線的方式回到公司環境來使用服務,但大部分的員工常常會覺得很麻煩且前面提到可能有資安的風險。 取而代之的是使用 AWS Verified Access (AVA)來達到身分驗證的功能,讓公司的應用程式能夠被安全存取。Verified Access 透過 Cedar 語言來定義那些人/部門能夠存取哪些服務,它透過跟 IAM Identity Center 或是整合基於 SAML 的第三方身分提供者(IdP)進行身分驗證。另外它也可以跟AWS WAF搭配使用做到更進一步的防護,並且您可以將相關存取的 log 集中儲存到 S3 以供事後查找。 2.服務與服務之間存取 當公司規模越來越大或是當公司專案被拆分成不同的帳號,以及 VPC 有時候會遇到需要跨 VPC 存取共用資源或是以服務拆分為不同帳號的情況,以一般的做法來說會透過 VPC Peering 或是 Transit Gateway 進行串接。 大致上這個做法是符合 AWS Best Practice 的,不過為了達到零信任,AWS 推出了 AWS Lattice,透過 AWS Lattice 管理者可以建立統一的應用程式連網服務,您可以定義流量管理、網路存取和監控策略,從而跨 AWS 運算服務(instance、Container和Serverless Lambda)以簡單、一致的方式連接應用程式。 另外,AWS Lattice 可以做更精細的控制,包含服務之間的 request 等級的路由或是藍綠部署、金絲雀部屬的權重路由。您更可以進一步地透過 Lattice 來進行連線的除錯或是找出更詳細的資訊,例如:流量、requset 種類、回應時間等。 3.開放給外部系統存取 有時候您在 AWS 上面的服務必須開放給外部系統存取,一般可以透過 AWS存 取機制,或是透過程式控制外部的服務能夠存取什麼樣的服務。為了達到零信任,AWS 推出了 AWS Verified Permissions 服務,跟 Verified Access 相同,管理員可以透過 Cedar 語言來決定外部服務存取權限的細粒度控制,它最特別的部分是它的授權是與商業邏輯脫鉤的,也就是說在程式開發階段只需專注於服務的研發,關於權限設定就交給 Verified Permissions 來處理。 更好的是 AWS Verified Permissions 原生就支援 log 儲存機制,您可以透過 log 找出以下事項 • 記錄所有相依性的可用性和延遲 • 細分每個呼叫、每個資源、每個狀態代碼等的相依性指標 • 存取記憶體佇列時記錄它們 • 為每個錯誤原因增加一個額外的計數器 • 依原因分類組織錯誤 • 記錄有關工作單元的重要中繼資料 • 記錄追蹤 ID 並將其傳播到後端呼叫中 • 根據狀態代碼和大小記錄不同的延遲指標 本文介紹了三大 AWS 零信任神器 - AWS Verified Access、AWS Verified Permissions 和 AWS Lattice,這些服務可以有效實現對使用者、裝置和工作負載的嚴格驗證與授權控制。通過這些功能,企業可以大幅提升自身的網路安全性,並滿足各類合規要求。 然而,要真正落地零信任架構並非易事,需要對整個IT基礎設施進行深入分析與精心設計。如果您的組織對此感到力不從心,不妨聯繫 CKmates。作為 AWS 合作夥伴,我們擁有豐富的零信任實施經驗,能夠為您的企業提供全方位的諮詢與服務支援,助您更快、更安全地邁向零信任時代。
電商必備 AI 行銷神器!如何運用 Amazon Personalize 黏住客戶、提升業績
2024-04-02
在人工智慧(AI)技術的推動下,顧客個人化體驗已成為企業不可或缺的競爭策略。Amazon Personalize 是 Amazon Web Service(AWS)所推出的機器學習服務,協助企業輕鬆打造顧客個人化體驗,其核心技術採用與 Amazon.com 世界第一大電商品牌同樣的技術,可幫助企業根據顧客的個人資料、行為和偏好,提供高度個人化的產品和服務推薦引擎。 圖/Amazon.com 所提供的電子商務服務。 圖/Amazon.com 的商品個人化推薦頁面。 Amazon Personalize 使用情境 Amazon.com 是亞馬遜旗下的全球最大電商平台,其成功很大程度上可以歸功於其對顧客個人化體驗的重視,從亞馬遜的網站和應用程式上就可以發現他們廣泛使用 Personalize 相關的技術,例如在產品頁面下方,Amazon.com 會根據會員的性別、國別、年齡、瀏覽和購買歷史,推薦可能感興趣的產品。此外,Amazon Prime Video(串流影音平台)也使用了相同的技術,可以從顧客的觀看紀錄分析,並推薦使用者有可能會有興趣的電影或影集,有助於提高訂閱率、留客率、顧客滿意度和品牌忠誠度。 圖/Amazon Prime Video 的影片推薦首頁。 Amazon Personalize 使用各式各樣的機器學習演算法,透過歷史資料進行訓練並找出資料之間相關聯的模式,來預測用戶可能感興趣的項目,讓系統能夠輕鬆地為其應用程式建立個別化的建議,幫助吸引更多潛在客戶並使客戶更輕鬆地找到他們感興趣的內容,常見使用案例如”您可能也會喜歡的產品…” 、”經常與此產品一起購買的產品…” 、”其他客戶也買了什麼…” 。 圖/Amazon Personalize 流程概念。 Amazon Personalize 如何訓練? Amazon Personalize 使用機器學習來分析用戶資料並找出模式,然後使用這些模式來預測用戶可能感興趣的項目,機器學習訓練資料的準備、訓練及使用步驟可簡單概括為以下三個階段: 數據整理 此階段的目的是準備機器學習模型所需的訓練資料。這包括收集使用者、項目和互動資料、清理資料、及提取資料中重要的特徵,用於訓練的資料種類如下: 使用者資料:包括使用者ID、年齡、地區、興趣、偏好等。 產品資料:包括產品ID、描述、屬性、價格等。 互動資料:包括使用者與產品之間的瀏覽、點擊資訊、購買等互動行為。 圖/範例訓練資料格式。 模型訓練 此階段使用前項所整理的數據進行訓練以建立機器學習模型。Amazon Personalize 提供了多種推薦模型演算法可供使用: 推薦模型:根據使用者瀏覽數據,預測其可能會喜歡的項目。 排名模型:用於對項目進行排序,以便向使用者推薦最相關的項目。 項目相關性模型:從瀏覽的商品分類,推薦使用者可能也會喜歡的其他產品。 圖/根據商務需求,可以選擇使用者推薦/排名推薦/相關產品推薦等機器學習演算法。 部署和推論 此階段將訓練好的模型部署到雲端受管的推論主機,以向最終用戶提供個性化的推薦,主要有兩種部署方式。 批次部署:定期更新模型,並向所有使用者推送新的推薦(每次推薦的時間較久,不適合結合應用程式使用,但僅按次數收費)。 即時部署:在雲端建置 API 節點,在使用者每次瀏覽或互動時,實時生成相關推薦(可整合應用系統即時推薦,但有固定端點費)。 圖/Personalize 的推薦 API 程式化推薦結果(左)、渲染成使用者網頁的推薦結果(右)。 在 AWS 上建置 Personalize 個性化推薦系統的優勢,儘管您沒有機器學習相關專業知識背景, AWS 提供預建模型和工具,可助您快速建立和部署推薦系統,且由 AWS 所托管的雲端基礎設施,可為您的系統提供強大的運算能力和儲存容量,無需擔心基礎設施的管理和維護,能全心專注於創造商務方面的價值! 想了解更多如何運用 Amazon Personalize 創造更多業績?立即聯繫您的雲端數位長銓鍇國際 CKmates ,帶您成功實現 AI 時代的企業數位轉型!
異地備援是什麼?「備援」和「備份」有什麼不同?
2024-03-01
面對日益複雜的數位環境,服務的可用性與資料保護的需求也隨之增加,當萬一發生不可抗力的天然災害或是人為影響(如駭客攻擊),導致服務以及公司資料因非預期因素中斷、無法使用時,此時「備份備援」便成為企業保護資料以及確保業務連續的關鍵策略。 何謂備份、備援以及異地備援? 備份是把資料或系統另存於其他位置或設備,包含即時備份及時間差備份,通常建議遵循「備份 321 原則」,就是指至少擁有 3 份資料備份、並存放在 2 種儲存介質、至少異地儲存 1 份;備援則是指當遇到非預期的服務中斷,可以透過替代的方案讓企業維持服務的可用性,即指恢復系統運作的規劃。 因此備份與備援往往都是一起執行,進而做到企業的災難備援策略。而異地備援就是個很重要的資訊安全策略,透過地理上的分隔來建立備用環境與設備,有助於降低將服務、設備放在一起的風險,這時常見的解決辦法就是透過雲端來進行災難復原,降低重要資料以及服務因天災或人為而受到的影響。 備份備援策略要點 那麼該如何規劃自己的備份備援策略?可以從兩個重要指標來判斷「復原點目標」(RPO)和「復原時間目標」(RTO)。RPO 衡量企業能夠接受多少資料損失,而 RTO 則定義了服務中斷後恢復到正常運作所需的時間。透過備份和備援,企業可以將 RPO 和 RTO 的數值降至最低,從而減少潛在的資料損失和避免服務中斷。 此外企業也需要考慮裝置服務需要使用第幾層級的備份策略,企業可透過彈性的方式來規劃策略,有效地降低相關的成本。 AWS 提供了多種異地備援策略,確保企業的資料及服務在面臨災難及故障時能夠持續運作,以地端資源異地備援為例,可以透過 AWS Elastic Disaster Recovery 來規劃備援機制,當災難發生時,可以透過啟用雲端資源及服務,讓企業本遭中斷的服務在最短時間內恢復其服務的可用性。 AWS Elastic Disaster Recovery AWS Elastic Disaster Recovery(AWS DRS,彈性災難恢復)為災難復原服務,與傳統企業內部部署災難復原不同,它節省了以往在維護階段時,企業所需要花費機房設備環境、系統授權、人力資源等相關費用,使用 AWS DRS 時,您可以移除閒置的資源來節省成本,只需要在進行演練或復原時才需支付費用。 AWS Elastic Disaster Recovery 建置架構 同時透過 AWS Elastic Disaster Recovery 可以建立來源與目標環境之間的資料一致性。其透過安裝在各來源主機上的 AWS Replication Agent ,去識別主機的資料異動,並透過非同步的方式複製到 AWS 的暫存區(Staging Area Subnet)。當災難發生時,將觸發恢復機制,透過還原區(Recovery Subnet)來恢復服務的運行。 AWS Elastic Disaster Recovery 使用 Amazon Elastic Block Store (EBS ) 快照來拍攝暫存區(Staging Area Subnet)中儲存資料的時間點快照。可以選擇系統、服務中斷的時間點進行還原。 總結來說,AWS Elastic Disaster Recovery 提供了一種保護資料、系統、服務的方式,讓企業可以確保系統、資料的復原,掌握服務的可用性,能以最小限度的停機時間恢復至正常營運。 身為企業的雲端數位長,銓鍇國際擁有專業的雲端顧問團隊和多年的產業經驗,協助多元產業和企業遷移上雲、雲端轉型,讓企業的數位轉型之路更加順暢。想了解更多異地備援以及 AWS Elastic Disaster Recovery 資訊,請即刻與您的雲端數位長 CKmates 聯繫。
什麼是雲端託管(MSP)?一文了解託管效益以及使用情境
2024-02-01
什麼是雲端託管? MSP (Managed Service Provider)也就是託管服務商,泛指任何提供 IT 委託管理服務的廠商,能夠提供企業 IT服務支援以及日常管理服務。而在傳統 IT 資源越來越多運用雲端資源後,雲端成為企業 IT 的核心,企業需要能由專業的雲端服務商(MSP)協助企業管理雲端環境、維護雲端基礎設施和應用程序,並提供完整的日常監控報告,使其能夠省下管理基礎雲端資源的時間以及成本,更輕鬆地專注於自身業務運營。 雲端託管 MSP 應用情境 雲端託管服務 (MSP) 在企業中扮演著不可或缺的角色,其應用場景極為多元,透過 MSP 夥伴的支援,企業能夠更有效地運作。如:電商在週年慶時,會有極大的流量湧入,任何的基礎設施的設置錯誤,都有可能錯失商機,MSP 雲端託管廠商可以協助維護基礎設施,即時監控並提前預測平台的穩定性。 除了基礎設施管理,MSP 廠商提供全面性的服務,包括應用程式支援、安全性管理等,以確保客戶的整體 IT 環境能夠順利運作,如:政府、金融單位需要處理大量敏感資訊,包括個人身份、財務數據等,MSP 雲端託管廠商在安全性和合規性方面擁有專業知識,能夠確保政府與金融單位的資料得到最高級的保護,並符合法規和標準。 圖/電商在週年慶時,會有極大的流量湧入,任何的基礎設施的設置錯誤,都有可能錯失商機。 雲端託管 MSP 效益 雲端託管服務通常取決於企業客戶的特定需求和情境,什麼樣的情境可以選擇雲端託管 MSP 服務,又如何判斷是否能夠帶來最大的經濟效益? 1. 專業技術管理 企業內部缺乏雲端的技術專業人員,難以應對多功能的雲端服務和維護作業。雲端託管 MSP 夥伴擁有專業的技術團隊,為企業提供全方位的雲端管理,讓客戶能夠更專注於業務的核心發展。 2. 運營成本控制 企業內部自有機房的運營成本過高,電力消耗、冷卻系統的維護,加上無法對硬體設備汰換損壞進行有效的資源再利用。雲端託管服務能夠節省機房運營成本,並對資源進行即時監控,確保更高水準的穩定性和可用性。 3. 資訊安全需求 企業往往須耗費高成本加以實現高水準的安全措施,雲端託管服務以企業客戶要求的安全標準作為準則,保護資料免受潛在的威脅,提供包括數據加密、防火牆配置、入侵檢測、主動弱點掃描、自動化提醒安全問題等。 4.故障恢復的即時性 過往企業需要自行建立和管理,透過人員定期的檢查並進行必要的維護工作,如更新系統修補作業。雲端託管服務提供專業的備份管理服務,確保資料得到妥善的管理、安全的儲存,同時能夠在需要時快速有效地進行恢復,保障業務的連續性和資料的可靠性,縮短業務中斷的時間,並透過自動化工具即時監控,自動進行系統修補作業,確保數據的安全性。 5. Log的集中管理 企業內部的主機、服務,往往 Log 收集較為分散,當有遇到問題時,需要從大量的 Log 中尋找相對應的原因。雲端託管服務提供專業的 Log 集中管理服務,透過 Audit logs與 Operational logs 的分類,進行有效的儲存及管理,並能透過雲端監控工具進行內容檢視及查找,減少尋找問題的時間。 CKmates 為 AWS 原廠認證 MSP 合作夥伴,並於去年(2023年)再次獲得 AWS MSP 資格認證,提供 7×24 的技術支援,將成為企業的技術後援部隊,我們成功協助知名雲端 ERP 系統供應商 Acumatica 金級認證的夥伴長弘科技運用託管服務,提升維運效率。 延伸閱讀:如何挑選優質 MSP 廠商? 2024 雲端託管服務商看這 4 大關鍵指標!
You can learn more details here