別再把 Google 安全提醒當成詐騙!必學三大技巧保護 Google Play 使用安全

根據 Google 調查,在台灣用戶遭遇個人資料外洩的比例高達 70%,另外,有過半的使用者的密碼設計太過簡單,以及有 86% 的人會將單一密碼重複用在多個網站上遲遲未做更改。
評論
評論

Google Play 作為開放式平台如何維護安全性?開放系統又真比較危險嗎?Google Play 應用程式與遊戲業務發展經理張樂潮,以及專注 Android App 開發的聖星科技創辦人盧育聖幫助大家破除迷思,提供給用戶最基本應該知道的資安自我保護實用技巧。

開放式平台讓惡意程式容易出現?破除你的迷思

既然要討論 Google Play 這樣的開放式平台,盧育聖破除大家對開放式平台的迷思,Google Play 開放式平台與包括應用程式商店的生態系,如硬體裝置、軟體側載等層面的開放式生態系到底哪個更容易被惡意程式所侵擾呢?事實上,惡意程式的多寡與開放原始碼與私密原始碼沒有什麼太大關係,相比起來開放原始碼會比較安全,畢竟所有原始碼來自一群開發者,大家都可以共同來審視程式碼是否有問題,反倒是私密原始碼比較容易有埋藏多年的漏洞。

盧育聖說明,倘若製造商手機本身內建的系統並未通過資安標準檢測,如「智慧型手機系統內建軟體資安標準」,或是製造商自行修改 Android 系統程式碼,可能導致漏洞產生。而 Android  開放的生態系,讓使用者得以從 Google Play 以外的平台下載軟體程式,因此當使用者從第三方平台下載來源不明的軟體程式,也會增加 Android 裝置的風險。

平台把關資安防護  開發者、用戶更需配合

作為平台的 Google 需要有適當的機制來為用戶把關應用程式品質,降低惡意程式出現的機率,目前在 Google Play 上,包含的像是開發人員計畫政策、開發人員發布協議。

根據官方統計 2020 年,Google Play 成功阻擋超過 96 萬個違反安全性政策的應用程式於 Google Play 上架,同時禁止了將近 12 萬個惡意程式的開發者帳戶,確保 Google Play 應用程式的品質,也時降低惡意程式出現的機率。此外,Google Play 的安全防護(Google Play Protect),更可以從裝置和雲端兩種層面保護使用者的安全,於 2019 年便阻擋高達 19 億次的惡意程式下載量。

當然,只有平台需要把關安全是不夠的,還需要仰賴用戶一起配合,不過目前從數據上顯然可看到用戶的資安意識還需要更加提升,根據 Google 調查,在台灣用戶遭遇個人資料外洩的比例高達 70%,另外,有過半的使用者的密碼設計太過簡單,以及有 86% 的人會將單一密碼重複用在多個網站上遲遲未做更改。以遊戲玩家來說,出現帳號被盜用的情況,可能是由於玩家們在虛擬道具交易平台上,經常透過提供帳號密碼做為交易使用,都容易受到不肖人士竊取。

Google 呼籲「三不口訣」保護使用者帳號安全

任何平台系統都無法完全阻擋潛在有害的應用程式。針對使用者的帳號安全,培養良好使用習慣,避免遭到惡意程式的攻擊,Google Play 分享「三不口訣」,協助使用者維護隱私安全。

  • 不下載來路不明的程式:使用者需要辨識與預防潛在惡意程式之後,再決定是否要下載。
  • 不盲目允許應用程式的要求:預先瞭解 Google Play 安全防護針對每個應用程式顯示的摘要資訊,確認這些應用程式存取資料權限的程度或是頻率。
  • 不要鬆懈警覺:儘管已經做足準備,並確認程式的安全性,但隨著科技進步,惡意程式總會尋求防護網的突破口。使用者需要隨時保持警覺心,預先做好準備,例如隨時確認 Google Play 安全防護認證狀態並設定兩步驟驗證。

官方也提醒,也不要忽略安全性警告,錯把這些通知當作是詐騙置之不理。此外,為了增加用戶意識保障資安,Google Play 也增設安全防護摘要,要求開發者預先標明當使用者下載應用程式後,會存取的功能權限,像是麥克風、相機、通訊錄等。當開發者需要取得更多的隱私權時,Google Play 便會設定更嚴格的審查標準。

開發者可以協助強化平台安全性的著力點,妥善的安全防護機制慎選第三方合作單位
共同提升數位素養,透過 Google Play 平台、開發者、使用者三方攜手將能打造更安全的平台使用體驗。

加入 INSIDE 會員,獨享 INSIDE 最精采每日趨勢電子報,未來還有會員專屬內容。 點擊立刻成為會員

核稿編輯:Chris

延伸閱讀:




開發者享受 CI/CD 價值!運用 Amazon EKS 整合 GitLab 創建自動化部署

企業如何在 Amazon EKS(Elastic Kubernetes Services)上使用 GitLab 創建自動化部署,減輕人力負擔,提升專案服務運作效率?
評論
評論

所謂現代化智慧 IT,所有工程師最希望的境界,莫過於只要輕鬆點幾下設定,系統就會自動跑起來,管理者再也不用隨時待命在機台旁邊,從此工作悠哉又快樂!儘管這樣情境還沒到來,但隨著敏捷式開發的流行,除了 DevOps 人員,有越來越多開發者將 CI/CD 概念融入到工作流程當中,例如從 build code、執行 unit test、到部署應用程式。

打造第一個在 AWS 上的應用程式

上述種種反覆步驟自動化執行,也就能提昇服務品質、主動通知開發人員以減輕人力負擔,讓專案服務能持續運作。

其中,GitLab 是執行 CI/CD 常用的工具之一,也是開發者使用程式碼儲存庫的地方。為了讓 GitLab Runner 在雲端快速實踐 CI/CD,《AWS 開發者系列》透過影片分享,如何在 Amazon EKS(Elastic Kubernetes Services)上使用 GitLab 創建自動化部署。

以下節錄工作坊影音內容,幫助開發者快速理解如何運用 Amazon EKS 的高可用性且安全的叢集,將修補、部署節點、更新等關鍵任務,全部做到自動化設定。同時影片也會示範 Amazon EKS 搭配 GitLab 如何展開自動部署,幫助工程團隊實踐 CI/CD 價值。

Amazon EKS 對容器管理輕鬆簡單、維運省時省力

容器化服務越來越興盛,當容器(Container)越來越多,在複雜的微服務(Microservice)系統環境之下,運維團隊的管理成本可能相對會增加不少,為了有效調度容器部署, 導入Kubernetes 無疑是近年企業熱門的話題之一。

建構 Kubernetes Cluster 流主要可區分兩大塊,一是安排容器調度的Control Plane、另一則是容器運行時需要用到的 Worker Node。

Control Plane 裡面涵蓋有儲存狀態的 ETCD、CoController manager 、Scheduler 的調度管理、甚至是操作時進行互動的 APIServer,若是自己創建 的 Kubernetes Cluster ,需要自己安裝這些元件,後續仍需要對 Control Plane 進行相關管理、維護、升級工作。為了減少上述 Components 的繁複維護,在透過 AWS EKS 代管的 Kubernete Control Plane 部可以獲得以下三大好處。

透過 AWS 增加雲端技能 在組織發揮影響力

Amazon EKS 一鍵式部署,展現三大優勢

第一,Amazon EKS代管的 Control Plane實踐了跨AZ的高可用部署,使用者不需要擔心單一節點故障的風險。

第二,Amazon EKS 支持至少四個 Kubernetes版本,持續跟進每季 CNCF 的發佈,同時 EKS 也完全符合上游 CNCF 規範。

第三,部署 Amazon EKS 之後,可直接使用 AWS 平台上現成的服務工具,在安全性管理、網路設定方面,可以做到無縫整合。

最後 AWS 台灣解決方案架構師也提到,若想在容器環境進行 CI/CD 及應用程式的管理,可以進一步透過 IaC 整合部署 Amazon EKS 叢集,透過使用 Console、把 EKS 變成 Cloudformation 的模板、使用 AWS 所開發出來的 eksctl.io、或指令是採用 AWS CDK 可以讓開發者用自身熟悉的語言,在 AWS 平台整合 CI/CD 工具進行維運及部署 EKS。

了解 Amazon EKS 整合 GitLab ,獲得三面向價值

對開發者而言,想把 Amazon EKS 整合到 CI/CD 工具之一的 GitLab 平台上,可以看到那些實際的優勢?

在 DevOps 開發者示範工作坊當中,GitLab 資深解決方案架構師指出,GitLab 使用到 Kubernetes 技術,主要有三種搭配方法,包含 GitLab Server、GitLab Runner、以及創建 Deployment Environment。

本次示範教學會主要聚焦在 GitLab Runner 如何採取 Auto-scaled 方式進行 Build、Test、Package Apps;以及在 Deployment Environment 運用 Kubernetes 技術,做到 Auto Deploy、Review App。

正因為 Amazon EKS 能夠在 DevOps 過程提供所需要的彈性計算資源,幫助開發者在 GitLab 平台上面獲得以下三個層次的優勢:

  • 在 GitLab 內建的部署工作流程當中,自動生成整套 CI/CD 最佳實踐腳本。
  • Review App 過程,從 Merge Request 中可直接訪問應用程式 /App 的 UI 介面,並且根據 Git branch 名稱、專案名稱,自動生成 Review App 的 URL,以及在 Merge 前的最後防線進行 Approval 檢查。
  • 加速 CI/CD 流水線,GitLab Runner 運行時候還可藉由 Amazon EKS Cluster 進行 Auto-scaled 的支援。

Amazon EKS 整合 GitLab ,需要兩大流程

影片最後,GitLab 資深解決方案架構師示範如何把 Amazon EKS 整合至 GitLab 執行 Auto Deploy,主要可分為兩大區塊流程,第一部分聚焦在 Amazon EKS cluster 的設置,第二部分則執行 Auto Deploy 設置。

第一塊可拆分為四個階段,首先教學怎麼創建 EC2 節點的 EKS cluster,第二階段示範把 EKS Cluster 連接到開發者的 GitLab Instance、Group 或 Project,下一步則使用 Cluster Management Project Template 創建一個 Cluster Management Project,以及最後一階段透過 Cluster Management Project 自帶的 Helm Chart,安裝在 Cluster 所需要的內建 App。

第二塊執行 Auto Deploy 設置,針對需要部署的 App 創建一個 GitLab Project,接著再把 gitlab-ci.yml 添加到 Project,並從 Web IDE 選擇及導入 Auto Deploy 的 CI 模版,讓 GitLab 自動生成最佳實踐的整套流水線。

幫助開發者更了解 Amazon EKS 整合 GitLab 的 QA 系列

Q:使用 Amazon EKS 之後,如何更有效率或優化資源去配置 Worker Node 的機器數量,以及如何有效空管開發維運的成本?

A:Kubernetes 除了本身有 HPA(Horizontal Pod Autoscaling)可根據使用程度自動調整資源流量,另外也能延伸使用 AWS Auto Scaling 方案,針對可擴展資源去設定自動擴展管理。另外在成本管控,雖然 Amazon EKS 會收取額外管理費用,但可透過 AWS 平台的 Calculato r計算每個 EKS 的價格,你會發現自動化部署及管理的費用,相對工程師人力的成本更加便宜。

Q:越來越多客戶考慮把現有 Application 變成容器部署,大多是爲了加快部署的效率,那麼變成容器模式之後,對 CI/CD 的工作流程有什麽影響嗎?

A:運用容器技術最直接的效果,可以讓應用程式的環境更一致化,例如 testing 環節、stage production,讓容器避開一些差異問題。至於 CD 部分要 delivery 一些 usage 不太一樣的時候,容器會幫忙做配置,所以 CI/CD 對容器的效益是相輔相成的。

Q: 客戶在開發流程漸漸會把 Infrastructure 變成代碼或文檔,是不是可以把程式碼跟現有的應用程式的 CI/CD 流水線整合在一起,達到一套完整的 CI/CD 部署流程?

A:觀察目前市場作法,主要分成兩個階段去做整體部署。如果規模比較小的團隊,會把 Infrastructure 代碼跟 App 代碼分開,在管理上會比較靈活;如果企業規模比較大,會有另外一個 Infrastructure 團隊來控制部署事情,這種情况之下,APP 的項目會生成一個 APP package,主要做到 delivery 這個階段爲止。而 Infrastructure 的項目會指定把需要版本的文檔,部署到他們的 Kubernetes Cluster。

填寫表單 找到適合的快速上雲服務與工具!