對話Web3卓越安全服務商：雲端安全的“攻防之戰”

Web3生態的安全離不開雲端基礎設施的安全，而與雲端基礎設施相關的各參與者包括專案方、雲端服務商和安全服務商都需要建立起綜合的安全策略，定期進行審計、自我安全排查，以確保最大的安全性。

對話Web3卓越安全服務商：雲端安全的“攻防之戰”插图1

Web3 以Blockchain 底層技術(Distributed Ledger) 建構的生態正在快速迭代，公鏈L1和L2 的技術創新使其成下一代底層運算網路具有可行性，各種基礎設施就像「Lego」元件一樣不斷完善， Web3 BUIDLers 不斷在多個應用程式賽道上建立豐富的dApps。

雲端服務作為Web3特別重要的底層設施也是Web3整個生態不可或缺的，每年有數以萬計的程式運行在雲端伺服器。根據Imm unefi安全機構的公開報告數據，「 2022 年安全事件中，46.5%的資金損失來自底層基礎設施，其中關於私鑰的管理、實踐與應急響應計劃最為重要。」Web3 的雲端安全持續面臨挑戰，私鑰洩漏、未授權存取、SmartContract分析與審計、DDoS攻擊、內部威脅、合規和穩定性等問題一直困擾著Web3 BUIDLers，也為雲端服務商和安全服務商不斷帶來新的挑戰。

作為一家率先推出雲端服務的公司，亞馬遜雲端科技Amazon Web Services (AWS)，一直是雲端服務領域的領導者，如今AWS更是積極擁抱Web3生態，聯合Web3領先社群品牌CrossSpace發起「Web3安全」系列線上線下研討會，深入雲端服務安全領域，傾聽來自交易所、公鏈、基礎設施和dApps的安全實踐挑戰，探討實際可行的解決方案。

作為本系列討論的訪談環節，我們榮幸專訪到四家Web3卓越安全服務機構Beosin、CertiK， MetaTrust和SlowMist（慢霧）及AWS雲端安全方面的專家，一起探討現時雲端安全的挑戰和解決問題的思路。

為何Web3的雲端安全如此重要？

安全對任何企業來說都是重中之重。雲端服務與Web3 是相輔相成的關係。自2009 年Bitcoin 主網上線，2015 年Ethereum 主網上線，安全事件和資產損失逐年增加，因此安全作為Web3 世界的基石更加需要重視。無論是中心化交易所，或是去中心化的DeFi、GameFi、NFT、DAO、Social、Bridge 等場景，都會涉及基於token 的各種應用場景。如何確保整個token 處理流程的安全成為Web3 BUDLers 需要仔細考慮的問題。 AWS作為雲端安全領域的專家和服務了許多Web3專案方的機構，一直緊密關注著Blockchain和Web3領域的安全，積極與專案方溝通，並舉辦了多種形式的Web3安全分享與培訓。

接近2023年年末，多頭訊號逐漸清晰，佈局雲端伺服器的Web3專案數量將會快速增加，雲端作為基礎設施層的角色越來越重要，因此雲端安全是每個開發者和BUDLers都必須關注的安全要素。

現時雲端安全面臨哪些重大挑戰？

安全公司Beosin 在本次專訪中表示，「雲端服務資料商的攻擊是近期主要的攻擊類型之一，主要是透過DDoS攻擊、帳戶劫持、惡意植入等多種手段，針對雲端服務資料商提供的計算和儲存服務的攻擊，其後果是敏感資料外洩和服務中斷。”團隊分享道：“近期Mixin Network和Fortress IO因雲端服務商被攻擊分別損失了2億美元和1500萬美元。”

敏感資料的洩露，尤其是私鑰的洩露是本次訪談過程中各安全專家多次提到的安全事件起因。 CertiK第三季安全季報也表示，“私鑰洩漏是該季度發生重要損失的原因之一。14起私鑰被盜事件造成了總計2.04億美元的損失。”

除了資料洩露，SlowMist慢霧團隊也給出了涉及雲端安全威脅的其他幾大類別，包括：

1.帳號外洩和未授權存取:駭客可以透過密碼破解、社交工程或弱密碼攻擊取得使用者帳號和憑證，從而取得未授權的存取權限。

2. DDoS 攻擊:分散式阻斷服務（DDoS）攻擊可以使雲端服務不可用，透過佔用資源或淹沒網路流量來癱瘓服務，導致業務中斷。

3.惡意內部威脅:內部使用者或員工可能會濫用其權限，竊取資料、銷毀資訊或進行其他惡意行為。

4.合規性和資料管理：專案方在雲端服務提供者的平台上，處理資料的過程中沒有有效的利用各種工具來進行資料保護，從而導致資料混淆或遺失”

面對駭客多維度的攻擊角度及潛在的內部安全風險，Web3安全專家們呼籲大家意識到雲端安全需要綜合的安全策略，因而不能只採取單一維度簡單的安全防範。

雲端安全的“攻防之戰”，如何破局？

面對雲端安全的持續挑戰，如何做好“防守”，助力用戶的隱私資料和資金安全？各安全機構的專家和團隊給了他們的看法。

Beosin團隊：

「敏感資料外洩事件頻繁發生，建議技術人員在儲存資料和傳輸資料時對資料進行加密，避免被未經授權的第三方存取。對於私鑰等敏感數據，建議使用隱私運算以及同態加密技術，避免私鑰洩漏。

同時，專案方需確認客戶端僅透過安全的API存取雲端服務，避免注入攻擊、跨網站腳本等惡意活動。使用API還可以在存取雲端服務之前對客戶端進行身份驗證和資料檢驗，以確保存取安全和資料安全。考慮到個人電腦作為客戶端的安全防護能力較弱，不建議透過個人電腦直接呼叫API對系統進行資料存取和維運，而是透過雲端上虛擬桌面或安全的跳板機來完成相關的存取。」

CertiK首席安全長李康教授：

「我們主要觀察到兩類使用雲端平台時面臨的常見風險，分別是用戶對雲端資料的配置不當以及用戶將雲端後台的服務隱藏到dApp導致的風險。大部分時候雲端是提供了許多資源的保護和資料的控制，但往往由於使用者對配置的使用不當，讓外部人員有機會進入使用者的後台。而另一類風險則是來自專案方的開發者將雲端後台的服務隱藏到dApp－部分開發者為了方便自身使用，會為整個專案設計一個自認為只在內部使用的接口，使得dApp能在行動端的App直接訪問，而無需對外公開。儘管專案方的雲端API有專門的管控，但這仍然導致dApp和後台進行了很多互動。

面對這兩類風險，CertiK建立了對雲端和基於雲端運行的dApp的安全服務，包括程式碼審計、風險評估、團隊身份驗證和背景調查等。「李康教授補充說：「如果你無法保證開發團隊絕對值得信任，讓審計專家對dApp進行一次完善的審計還是非常必要的。」

MetaTrust聯合創辦人劉楊教授：

「雲端安全作為基礎設施層，需要做好資料安全和使用者的隱私保護。建構端對端的全端的安全防護，特別注意針對資料的保護。針對不同類型的資料設定對應的存取權限，防止未經未經使用授權的存取。雲端服務的機制較為複雜，不同類別的資料都需要有獨立的存取機制。

此外，數據合規也需要重視。現在雲端裡面很多資料都在同一個雲端裡，可能因為地域不一樣，導致資料受到存取限制。如果對這種情況不了解的話，很容易導致資料跨境外洩帶來的合規問題。因此，存取控制和身份驗證，這一塊其實也是很重要的。我們需要建構比較嚴格和細顆粒度的存取控制和身分驗證機制，以防止未經授權的存取。」

SlowMist慢霧團隊：

「雲端安全需要全面的安全策略，包括適當的存取控制、加密、持續監控，請專業的安全機構進行全方位的審計、教育培訓等方面的措施，以確保雲端環境的安全性和穩定性。例如對關鍵資料進行端對端加密，如果要使用加密，加密金鑰的安全管理至關重要，保留金鑰備份，最好不要保存在雲端。例如預防配置錯誤這樣的基本漏洞，雲端安全風險將大大降低。最後，無論是個人用戶、中小企業用戶或企業級雲用戶，確保網路和設備盡可能安全是非常重要的。”

AWS：安全是一個洋蔥型的多層防護

無論在Web2或Web3，AWS都積極的在為多類別專案提供雲端運算和安全服務。作為雲端運算的領導企業和積極參與者，AWS Web3技術專家認為，安全不是雞蛋模型的單層防護，而是多層防護的洋蔥模型，層層遞進，層層展開。具體來說，第一層是威脅偵測與事件回應，第二層是身分認證與存取控制，第三層是網路與基礎設施安全，第四層是資料保護與隱私，第五層是風險管控及合規。 AWS針對每一層，都提供了完整的解決方案，幫助Web3的專案方更安全的管理整個應用系統。

結論：Web3雲端安全的攻防之戰要取得勝利，需要依靠各方的共同努力

對於Web3的開發者來說，除了增強自身的道德水平，也需持續精進安全相關的技能，可以積極參與AWS針對開發者的活動及培訓，例如Web3 Ethical Hacking and Security Best Practice，鑑別常見的合約風險。

我們共同的目標是打造安全的Web3生態，實現產業的永續發展，希望您能從本次訪談中得到啟示，並積極運用於日常實踐中。

如Web3專案方需要了解如何建立安全的雲端應用，可點選連結了解更多：

https://aws.amazon.com/tw/local/hongkong/Web3/

聯系郵箱：0xniumao@gmail.com