他們被攻破，全球都停擺！

雲端巨頭不能輸的資安戰

文●曹博凱

生成式AI的崛起，加速「萬物上雲」的時代到來。但企業搶著上雲，又必須餵資料給AI學習，也讓駭客有更多目標可攻擊。

根據資安廠商Check Point Research，今年第二季全球各組織平均每週受到的網路攻擊次數再創新高，年增達三成。雲端安不安全，變成企業數位化、推動AI轉型的先決條件。


微軟幫企業接軌「雲與地」！擁龐大軟體用戶優勢，資安產品最全

如果把雲端比喻作戰場， 那公有雲的三大巨頭， 即亞馬遜網路服務公司（AWS）、微軟Azure、Google雲端平台（GCP），就是戰場上最具影響力的領主們，而資安的能力，則是他們手上能左右戰局的關鍵武器。

畢竟三巨頭合計占全球約七成的市場，他們幾乎定義了雲端世界，且任一家安全防護網被攻破，都會釀成世界級的災難。

這三大巨頭也都祭出不同策略來最大化自己的優勢，以在這場資安新局中搶下一席之地。

微軟Azure的策略，不是要客戶去做「最徹底」的轉型，而是去保證客戶可以有「最順暢」的轉型。

研究機構IDC台灣資深市場分析師林雅惠指出，微軟的優勢在於深耕企業市場已久，很了解企業級的資安怎麼做，不論是過去著重的端點防護，到現在新的雲端環境都有涵蓋，這讓Azure有業界最完整的資安產品組合。

完整的產品組合對老牌企業更具吸引力，因為他們很多的工作負載還是在「地端」，雲跟地一起保護仍是必要的，「所以企業很看重雲跟地的無縫接軌，他們考量的是整合性，這給微軟很大的優勢，帶動微軟在這塊市場的擴張，」林雅惠表示。

微軟的策略顯然是奏效的，加上本來使用微軟辦公軟體的企業就很多，帶給Azure先天優勢，開發這些潛在的忠誠客戶就能有不錯成效。根據SynergyResearch Group，Azure今年第一季市占率上升至二五％，與龍頭AWS的差距正持續縮小。

Google的GCP，走了跟Azure截然不同的路。因為Google本身就是雲端原生（cloud native，指應用程式的建構和提供皆在雲端）的公司，GCP的資安技術也為雲端而生，加上Google原本就具備領先的大數據分析服務，這些強大技術成為吸引客戶的關鍵。

▲Google雖然在雲端市場市占居老3，但近年在資安賽道積極購併，它曾在2022年斥資54億美元買下資安公司 Mandiant，以強化自家雲端的自動化威脅偵測，也創下Google收購金額第2高紀錄。

Google積極購併強化「武器庫」雲端原生技術強大，還捧鉅資補強

尤其許多資安技術其實原本是Google內部自己使用，成熟後再向市場推出。

林雅惠說明，GCP就像是在用內部創業的方式來帶動資安技術的成長，例如BeyondCorp，這項二○一一年就問世的技術，原本是Google內部的零信任網路架構，意思是員工不須用VPN，也能安全存取公司的雲端或地端資料，現在已成為GCP的服務之一，更是遠距工作時代的必備資安技術。

為了拚資安技術，Google是三巨頭中最積極購併的一家。光二○二二年，它就一口氣出手買下三家知名資安公司。

而今年七月傳出Google想砸二百三十億美元天價收購資安新星Wiz，展現其拚資安的決心，這筆鉅額足以創下Google和全資安界最高的收購金額，但該案最終破局。

為何Google想拿下Wiz？林雅惠指出，因為近幾年資安技術的複雜性越來越高，不論供給方或需求方都在想辦法減少「資安摩擦力」，也就是簡化管理，避免用太多層關卡來確保資安。所以像Wiz這種主打雲端原生應用程式防護平台（CNAPP）、提供高度整合性的業者，特別具有競爭力。

林雅惠補充，Wiz現在與三大公有雲都有合作，而Google選擇收購Wiz，而不是合作的路線，除了想要強化自己的資安產品組合外，有可能是想削弱Wiz與其他公有雲的合作，只把核心技術留給自己。

▲AWS是最早誕生的公有雲服務商，內部有「Securityis Job Zero」的說法，即資安優於其他工作。(AWS提供)

AWS基礎設施市占39％，穩坐龍頭 廣邀第三方服務商合作，成新創最愛

微軟有龐大的既有平台用戶可以無縫接軌、Google坐擁強大技術實力，兩者都來勢洶洶，做為龍頭的AWS如何防守？答案是把基礎顧好，環境好，自然會有人加入你的陣營。

AWS台灣暨香港總經理王定愷告訴商周，「我們內部有句話叫『經驗無法壓縮』，意思是有些經驗要達到一定規模才能學到。」而AWS最主要的經驗優勢之一，在於做為世界上第一家公有雲服務商，已在全球建設出最完善和安全的雲端基礎設施。

若以整體雲端市場來看， 前兩大的AWS和Azure市占率只差六個百分點，但如果看「基礎架構即服務」（IaaS，透過網路使用IT基礎設施的服務，例如運算、儲存等），根據科技顧問公司Gartner統計，去年AWS市占率高達三九％，與Azure的差距也擴大到十六個百分點。

Gartner副總裁分析師納格（Sid Nag）指出，「 微軟的策略是從軟體服務（SaaS）往下，而亞馬遜一直是從IaaS往上。」尤其生成式AI興起，大量的AI訓練都在這些基礎設施上運行，使IaaS的重要性更加提升。「IaaS是撐起所有船隻的浪潮，」納格表示。

基礎設施上的領先，並沒有讓AWS選擇去壟斷市場，而是透過軟體市集（AWS Marketplace） 廣邀第三方服務商來合作。根據AWS提供的資料，它的雲端服務數量比第二大的Azure多了六○％。

林雅惠解釋，從資安角度看，這樣做有兩個好處，一是能夠彌補AWS的SaaS自有產品多元性不如微軟和Google的劣勢，改讓第三方來填補；二是對第三方服務商而言，東道主的自有產品越少，自己的生存空間才越大。例如在Azure上，鮮少有第三方能跟微軟本身強大的端點防護媲美，所以做端點防護的廠商，可能更傾向去AWS。

AWS的彈性加上豐富的第三方服務選項，也對新創獨具吸引力，《富比世》去年「下一個十億美元新創」榜單上，超過八成的新創都使用AWS服務。

資安人才缺口達4百萬人 全球開搶！「懂AI也懂資安」最夯

三大巨頭在資安這塊新戰場各自拚技術、拚生態，那對一般人來說，能在這個新戰局中做什麼？答案是成為新時代所需的人才。

正如同AWS首席資訊安全長（CISO）貝特茲（Chris Betz）在今年舉辦的雲端安全會議（re:Inforce）上說道，「現在找到AI人才很困難，尋找資安人才也很困難，但同時找到理解這兩者交集的人，更加困難。」

根據國際資訊系統安全認證協會（ISC2） 統計， 截至去年，全球資安人才缺口高達約四百萬人，根本供不應求。

為此，目前三大巨頭都在開辦免費的資安和AI人才訓練課程，積極拉攏人才加入自家生態系，對求職者也算是一大福音。

AWS全球安全服務副總裁羅斯曼（Hart Rossman）對商周表示，現在最炙手可熱的高階安全領導人才，最好兼顧產業知識、看懂代碼的能力，以及具備資料科學和機械學習的知識。

後兩者看似很難，但他看過的一些案例是，有些人在六到九個月就能透過課程學完，「你不需要回到學校拿個博士學位才會這些，」羅斯曼說。

閱讀完整內容