雲端平台面面觀 - FISC...42 財金資訊季刊 / No.95 / 2019.07 資訊分享〡雲端平台面面觀 最常見的雲端服務類型。而「平台服務」 (Platform as a Service,

www.fisc.com.tw ■　41

雲端平台面面觀〡資訊分享

雲端平台面面觀

謝超煒 / 財金資訊公司系統部高級工程師

一、 前言

「雲端運算」(Cloud Computing)為透過

網際網路運算方式，共享的軟硬體資源和資訊

可隨需應變提供給電腦各種終端或其他裝置

(如圖 1)。1996年 Compaq公司在其公司內

部檔案中，首次提及「雲端運算」這個詞彙。

自「雲端運算」概念出現後，各式雲端服

務持續演進與成長，首先是應用層 (Application

圖 1　雲端運算架構資料來源：維基百科

layer)的「軟體服務」(Software as a Service,

SaaS)。SaaS並非新概念，在 2000年網路

泡沫化時代已有相同模式，與「應用服務供應

商」(Application Service Provider, ASP)雷同，

SaaS實質上擴充了 ASP模式的思想，提供

使用者在網路上的軟體應用，使用者無需再購

買軟體，而改向 SaaS供應商租用Web軟體，

即可使用軟體功能，例如：Salesforce.com與

Gmail，以及趨勢科技的雲端防毒，都是我們

42　■ 財金資訊季刊 / No.95 / 2019.07

資訊分享〡雲端平台面面觀

最常見的雲端服務類型。

而「平台服務」(Platform as a Service,

PaaS)是始於 1998年的 XML-RPC1，也稱為

Web Services。PaaS指的是運用平台來提供

運算或解決方案，及提供整合的應用程式介面

(Application Programming Interface,API)，

可以代管客戶的應用程式，部署更為簡便且

節省成本，例如：微軟的Windows Azure、

Google的 App Engine、Yahoo的 Application

Platform、Salesforce 的 AppExchange 等。

如果說 SaaS是現成的熟食，PaaS就像是採

購生食，還需要有專職廚師將它調理成熟食，

故大多數的中小企業直接選用現成的 SaaS比

較省錢省事。

倘若使用者只需要在 App Engine2上運行

Web應用程式，確無大量的資料儲存、流量

及計算需求，基於撙節成本考量，大部分人傾

向選擇「基礎設施服務」(Infrastructure as a

Service, IaaS)，IaaS簡單講就是虛擬化雲端

機房，是將 IT基礎設施如伺服器、儲存及網

路，分別以虛擬伺服器服務、儲存服務與網路

服務等型式提供給使用者。當使用者需要運算

資源時，可立即獲得資源，不需要自行採購設

備、建置與部署，這種模式打破了過往取得運

算資源的方法。與 PaaS相較，因開發者在特

定的 PaaS上開發，受限特定平台難以遷移的

顧慮，故 IaaS較 PaaS更受青睞。爰此，本

文所謂的雲端「平台」，筆者將聚焦於雲端運

算服務之類型及其 IaaS架構之介紹。

二、 雲端服務概況與導入

根據美國國家標準暨技術研究院 (National

Institute of Standards and Technology, NIST)

針對雲端運算所提出的定義，雲端服務可概分

為 4種部署模式，分別為：

(一 ) 公有雲 (Public Cloud)

公有雲是透過網路及第三方服務供應者開

放給客戶使用，由雲端供應商建置，使用者共

享雲端供應商的資源。「公有」一詞並不一定

代表「免費」，也可能是價格低廉。公有雲並

不表示使用者資料可供任何人檢視，供應商通

常會對使用者實施存取控制。採用公有雲兼具

有彈性大與成本效益高之優勢。

(二 ) 私有雲 (Private Cloud)

私有雲由企業自行運作管理基礎建設及運

算資源，具備許多公有雲之優點，例如適合彈

性提供服務。然而兩者主要差異在於私有雲服

務之資料與程式，皆於組織內管理，且不會

受到網路頻寬、安全疑慮、法規限制影響；此

外，私有雲服務因使用者與網路都受到特殊限

制，得以讓供應商及使用者更能掌控雲端基礎

架構、改善安全與彈性。

(三 ) 社群雲 (Community Cloud)

社群雲為數個組織共享基礎建設與運算資

1 XML-RPC是一個遠端程序呼叫（Remote Procedure Call，RPC)的分布式計算協議，通過XML將調用函數封裝，並使用 HTTP協議作為傳送機制。

2 App Engine為存放網頁應用程式的平台。

www.fisc.com.tw ■　43

雲端平台面面觀〡資訊分享

源，由眾多利益相仿的組織掌控及使用，例如

有特定安全要求、或共同宗旨等。社群成員共

同使用雲端資料及應用程式，且這些組織具有

相同的安全、隱私與管理考量。

(四 ) 混合雲 (Hybrid Cloud)

混合雲為同時擁有兩種型態以上 (公有

雲、私有雲或社群雲 )的合成體，基於標準來

確保資料或應用程式的可移植性。倘混合雲為

結合公有雲與私有雲之服務模式，使用者通常

將非企業關鍵資訊外包，並在公有雲上處理，

但同時掌控企業關鍵服務及資料。

目前公有雲服務供應商相當多，但從

主流與規模來看，主要仍以 AWS、GCP、

Azure、IBM、Oracle為主，可完全依據企業

需求來選擇相關服務使用，並每月結算費用。

公有雲服務不僅已能涵蓋企業主要的儲存應用

類型，符合大容量、高效能之需求，更進一

步，結合日趨成熟的儲存 I/O效能調節技術，

用戶既能依照容量大小與使用時間來訂購雲端

儲存，也能依照不同的 I/O效能需求，來訂購

需要的雲端儲存空間，達到「按需求打造」自

身雲端儲存服務的層次，比傳統企業儲存更加

靈活。

然而，選擇雲端運算服務，首須確認選擇

的目的為何？是希望透過委外來減少軟硬體、

IT支援及資安管理的成本支出；還是希望 IT

資源能夠彈性運用並更具擴充性；或是希望獲

得業務持續運作與遇到災害時復原的能力；

亦或者想要增進商業營運的運算與應用功能。

雲端運算服務確實能減少成本及增加商業營運

應用能力，但並不是所有服務在既有架構下都

適合走向雲端，尤以對安全考量有特殊要求的

服務。因此，確認目的才能判斷所選擇的雲端

服務是否能夠符合需求，協助解決所面臨的問

題。

每家公司對服務的需求不同，並沒有單一

的衡量標準來決定怎麼選用雲端服務，評估時

可先自最迫切的需求開始了解，考量所需的預

算規劃，逐步、漸進式導入雲端服務，可減緩

對企業日常運作的影響。不過，就算是採用漸

進式導入雲端服務，亦應了解該雲端平台的未

來性，方可逐步納入更多的雲端服務。AWS

官網上分享應用程式移轉上雲端的 6種遷移模

式 (如圖 2)可供參考，說明如下：

圖 2　應用程式移轉至雲端服務之 6種遷移模式資料來源：AWS官網

44　■ 財金資訊季刊 / No.95 / 2019.07

資訊分享〡雲端平台面面觀

(一 ) Re-host(主機搬遷 )

在企業需要快速實作遷移與擴展的大型傳

統遷移案例中，有大部分的應用程式都採搬遷

的方式移至雲端。搬遷工作可採手動安裝及調

整參數部署移轉，或可透過雲端廠商提供的工

具自動完成。

(二 ) Re-platform(平台轉換 )

平台轉換則是不變更應用程式的核心架

構，進行雲端底層與基礎設施的優化調整。

舉例來說，企業為減少管理資料庫執行個體所

需的時間，將資料庫遷移到雲端廠商提供的關

聯式資料庫服務，例如：Amazon Relational

Database Service(RDS)，或將應用程式移

至雲端廠商提供的應用程式平台上，例如：

AWS Elastic Beanstalk。

(三 ) Re-purchase(重新購買 )

這是移至不同產品的決策，很可能代表企

業願意變更現有的授權模式。對於可輕鬆升級

至最新版本的工作負載，這項策略可讓功能升

級，實作更為順暢。

(四 ) Re-architect(重新架構 )

若應用程式環境無法達到功能提升、效

能擴展，在強大需求下，通常企業考慮重新建

立系統架構。如果企業想要移至服務導向架構

(Service-Oriented Architecture, SOA)，以大幅

提升靈活度或改善業務持續性，採用重新架構

策略通常是最貴的解決方案，但卻值得投入。

(五 ) Re-tire(淘汰 )

識別出不再使用的應用系統並將其關閉，

有助於大幅提升使用效益，並將企業注意力轉

向維護最需使用的資源。

(六 ) Retain(保留 )

企業可能想要保留部分系統投資組合，因為

可能還未準備好遷移部分應用程式，而且覺得將

其保留在現場部署較為安心，或者不想優先處理

最近剛升級的應用程式，以避免再次變更。

三、 混合雲及連線架構

隨雲端系統使用需求提升，混合雲的應用

逐漸受到重視。因混合雲兼具私有雲和公有雲

兩個 IaaS系統的優點，且允許在公有雲和私

有雲之間移動負載，並隨著計算需求和成本變

化做動態負載調整，為企業提供更大的靈活性

及更多部署的選擇。而混合雲基本上是私有雲

的延伸應用，在整體 IT維運管理上擁有相當

大且彈性的應用策略。以現行整體資訊趨勢，

使用混合雲可加速創新、應用服務延伸，及節

省成本，主要用途說明如下：

(一 ) 系統整合

可運作各類應用系統整合於混合雲環境，

例如：記錄、資料收集、網站類型切分等。

(二 ) 延伸擴展

可將私有雲虛擬化平台上之虛擬機，延伸

或移轉至公有雲上，以彈性調配兩邊資源，例

www.fisc.com.tw ■　45

雲端平台面面觀〡資訊分享

如：資料中心停機維護、輕量負載虛擬機移轉

至公有雲上等。

另一種則是應用服務擴展延伸至公有雲

上，例如：週期或不規則性的短期應用工作負

載，或是輕量型應用，也可依規劃擴展至公有

雲環境上。

(三 ) 用途區分

傳統資料中心會依據工作任務來建立多個

基礎設施，透過網路與資安設備進行隔離區

分，例如：測試環境、開發環境、用戶驗收測

試 (User Acceptance Test, UAT)環境等。因

此，可規劃將特定工作任務所需之相關環境，

延伸擴展至公有雲環境上使用。

(四 ) 備份與備援

備份與備援是現行企業導入混合雲最主要

的用途，其主要使用資源是儲存空間，而運算

資源只有在服務啟用後才會開始使用。因此，

一般會規劃將資料中心虛擬化環境的資源備份

至公有雲上，或是虛擬化環境直接延伸至公有

雲虛擬化平台，精簡備援機制。

混合雲在私有雲介接公有雲之方式上，依

據入口及連線方式不同，可分為網際網路連

線、網際網路＋ VPN連線、專線＋ VPN連線

等三種方式 (如圖 3)，說明如下：

圖 3　私有雲介接公有雲之三種連線方式

• 安全性低• 延遲與掉包高• 共享頻寬，速率品質不穩• IP暴露，易受攻擊

• 安全性較高• 延遲與掉包高• 共享頻寬，速率品質不穩• 可能受攻擊

• 安全性最高 (專屬線路 )• 專用頻寬，延遲與掉包低• 專用頻寬，速率品質穩定• 未暴露，不受網際網路攻擊

雲

端

雲平台

專業 +VPN連線VPN安全連線網際網路連線

雲平台

雲平台

網際網路

(一 ) 網際網路連線

設若公司內部網絡可連接網際網路，而連

接公有雲數據中心也是如此。互連這兩個位置

最簡單的方法是透過 Internet連線，但也因為

直接透過 Internet連線，會將雲端主機的公有

IP暴露在外，故安全性較低，並且以 Internet

連線共用網路頻寬，連線速率品質較不穩定。

46　■ 財金資訊季刊 / No.95 / 2019.07

資訊分享〡雲端平台面面觀

(二 ) 網際網路＋VPN連線

透過 Internet 連線至雲端時，為確保

連線安全，可採 VPN與加密方式 (Internet

Protocol Security,IPSec)連線；雲端 VPN閘

道是特定的虛擬網路閘道類型，在雲端虛擬網

路與內部位置傳送加密流量，每個虛擬網路

只能有一個 VPN閘道。不過，可以對相同的

VPN閘道建立多個連線，所有 VPN通道都可

共用閘道頻寬。

(三 ) 專線＋VPN連線

公有雲平台另提供專屬網路連線與企業專

線連接；若使用專線線路，需透過 DX線路機

房，並透過雲端業者提供的連線服務，依據申

請頻寬大小計價，轉連至各區域資料中心，其

優點為具有穩定而快速的專線品質，速度範圍

可從 1Gbps到 10 Gbps，且可免除網際網路

連線上遇駭客攻擊的安全問題，並提高線路可

靠性；其缺點為成本較高，且線路提供商通常

需要較長的初始設置時間，並須簽訂至少一年

的連線合約。

四、 雲端延伸機房的實作與安全

混合雲部署有兩種方式，第一種是先建置

私有雲環境，將原有負載逐步移往公有雲，此

為目前主要做法。第二種則是先使用公有雲服

務，待建立私有雲環境後再移動原有負載。當

混合雲網路連線後，可從私有雲使用公有雲的

資源，然因各企業在公有雲實作平台與私有雲

虛擬平台往往有所差別，無法直接將私有雲上

的虛擬機 (Virtual Machine,VM)移轉至公有雲

上，反之亦然。

目前私有雲虛擬化平台類型繁多，主流以

VMware vSphere虛擬化平台為主，因此有許

多公有雲服務供應商和 VMware合作建立混

合雲機制，讓 vSphere平台上的虛擬機，可

以無縫移轉至公私有雲的環境。以下對混合雲

之相關作業方式進行說明：

(一 ) 停機移轉至公有雲

一般要與公有雲連接，及做虛擬機移轉，

必須透過雲端供應商或第三方提供之移轉工

具，將本地虛擬機進行移轉。該機制採用類似

虛擬機資料備份或備援作法，將本地自建環境

中的虛擬機備份或抄寫至雲端，並且進行格式

轉換，或使用虛擬機匯出匯入方式，因此須考

量停機及資料移轉所花費的時間。同樣的，若

公有雲上的機器需要移轉回私有雲，亦須同等

考量。

(二 ) VMware Cloud混合雲

使用 VMware Cloud混合雲的方式，可將

企業內部 VMwarevSphere平台上的資源擴展

延伸至公有雲，並對希望將私有雲端部署工作

負載遷移到公有雲端、合併與擴展資料中心容

量、以及簡化復原解決方案的企業而言是個好

的選擇。然而，相對所需要的網路頻寬及建置

成本都較高。

五、 混合雲安全實作

雲端的安全風險主要源自於網路、資料及

法規三個層面，雲端安全聯盟 (Cloud Security

Alliance, CSA)有鑒於當前雲端運算之安全威

脅，於「Security Guidance for Critical Areas

www.fisc.com.tw ■　47

雲端平台面面觀〡資訊分享

of Focus in Cloud Computing v4.0」一文中，

闡述雲端所面臨的資訊風險及其對應的安全

性建議，提出對建構雲端運算安全架構的方

法，以雲端架構 (Cloud Architecture)、雲端

治 理 (Governing in the Cloud)、 雲 端 營 運

(Operating in the Cloud)3部分為主，再細分

成 14項安全領域進行評估，有助企業組織得

依其所提供或採用的雲端服務，瞭解本身安全

防護機制之規劃與管理責任。

不同的雲端運算模型，使用者接觸的方式

也不同，因而影響直接控管運算基礎架構的能

力及其安全管理責任歸屬。於軟體服務 (SaaS)

模式中，多數安全管理責任在於雲端供應商；

SaaS提供多種入口網站的存取控制方式，例

如：使用者身分認證及限制存取 IP位址之範

圍或地區。於平台服務 (PaaS)模式中，用戶

端承擔較多中介軟體、資料庫和應用程式執行

時期的配置和安全性管理責任。於基礎架構服

務 (IaaS)模式中，用戶端負責更多系統層的

安全控管權力和責任，例如：網路架構及作業

系統。

在挑選雲端服務廠商時，須評估服務廠商

提供雲端服務的技術能力，即針對系統架構的

資源管理、互通性、及穩健程度，是否能提供

更全面的安全與服務，亦須考量在技術面與法

規面上的各種風險之保護作為是否完整，以及

萬一出現安全議題，雲端服務廠商是否有能力

賠償用戶的損失等，皆是選擇雲端服務廠商時

須考慮的課題。

考量雲端安全，可從雲端業者獲得哪些獨

立第三方的證明、報告及認證，以確保資料中

心之安全，第三方證明和認證能讓企業對雲端

營運商的政策和規程充滿信心，並且有助於在

雲端環境中部署業務關鍵型應用程式，例如：

SOC 1/ ISAE 3402、SOC 2、SOC 3、PCI

DSS、ISO 27001、IRAP、FIPS 140-2、

MPAA、HIPAA、FedRAMP(SM)、DoD CSM

第 1-2、3-5 級 DIACAP 和 FISMA、MTCS

Tier 3認證 ITAR、CSA、ISO 9001等，都是

評估雲端業者機房的指標，如 AWS 近年考量

到這些企業用戶的擔憂，也將上述認證整理放

入官方文件中，以確認其所遵循的政策、流程

及控制方式等重要資訊。

此外，如混合雲採行 PaaS及 IaaS時，

使用單位需自行實作安全控管作業，而雲端業

者則提供工具協助建置安全的資料環境，並提

供合規報告服務，以協助改善其部署之應用程

式安全及合規。

六、 結語

雲端運算以「隨需應變」的方式提供企業

所需服務，使用雲端運算可提高服務效率、簡

化 IT管理，並可根據商業需求，迅速調整服

務內容，提供可靠的支援，優化開發創新服務

的能力。

雲端運算雖具備資源共享、使用便利等優

勢，但也面臨諸多挑戰，其中，安全議題成為

限制雲端運算發展的重要關鍵因素。如何於實

作時去確保雲端運算服務的機密性、完整性及

可用性，均影響企業使用雲端服務的意願。

無論技術如何演進，雲端運算仍架構於既

有的資訊技術基礎之上，而企業在採用雲端服

務後，信任邊界將從企業內管理的有限靜態邊

界，轉變成由雲端供應商提供服務的動態邊

界，衍生的建置作業及評估考量，並將迥異於

既往的思考方向。