Cloud周報第119期：Google墨爾本雲端區域啟用1個月之際就出事，因網路設備發生異常導致多項服務中斷

重點新聞（2021/08/26～2021/09/01）

  Google雲端      雲端地區     服務中斷   

Google墨爾本雲端區域發生故障事件，多項服務出現異長達90分鐘

Google剛於7月底啟用的澳洲墨爾本雲端區域，投入服務要滿一個月之際，於當地時間8月24日中午時段，因基礎設施出現暫態電壓異常狀況，導致多項GCP服務無法正常運作。Google於服務發生中斷約40分鐘後，才在GCP服務狀態儀表板上宣布，該地區基礎設施組件發生異常，並羅列受影響的服務範圍，包含Bigtable、Dataflow、GKE等服務，都在異常名單上。

之後，Google進一步公布故障事件的初步分析結果，發現是因為網路設備通道處突然出現暫時性的高電壓，而導致設備重啟，而為了緩解問題，Google暫時改變墨爾本區域內的流量走向。Google表示，任何使用Cloud Networking的服務可能都受到影響。此次服務中斷事件歷時約1小時半，進一步看各服務受到的具體影響，Cloud Interconnect的丟包率達100%，而Cloud Storage、Cloud Run、Cloud SQL、Cloud Spanner和Cloud Bigtable等服務的錯誤率則達100%。（詳全文）

  Azure     Cosmos DB    安全漏洞  

Azure資料庫服務Cosmos DB出現用戶主要金鑰外洩漏洞，可口可樂等多家企業都遭殃

雲端安全服務業者Wiz日前揭露了Azure非關聯式資料庫服務Cosmos DB，具有一系列安全漏洞，許多大型企業包含可口可樂、Citrix在內，都受到波及。Wiz是在Cosmos DB的資料庫視覺化功能Jupyter Notebook內，發現一個權限擴張漏洞，可讓駭客進入企業的Jupyter Notebook，並取得企業的主要金鑰與Notebook存取令牌等機密資訊。一旦駭客掌握上述機密資訊後，就能長期存取受害Cosmos DB帳號的所有資料，還具備完整的讀取、寫入與刪除權限，甚至可以存取Cosmos DB的底層架構。

微軟在Wiz通報漏洞後的48小時內，關閉了Jupyter Notebook功能，並通知超過3成Cosmos DB用戶必須手動輪換存取金鑰。然而，微軟只通知Wiz過去研究漏洞約一周期間內，受漏洞波及的企業，而Wiz相信曾啟用Jupyter Notebook服務，或是今年2月後建立Cosmos DB帳號的企業，都可能受到此系列漏洞影響，呼籲這些企業採取保護措施。Wiz更表示，該漏洞已存在至少數個月，甚至有可能已長達數年。（詳全文）

  中國天津     國營企業     政府雲端平臺  

禁用私雲，中國天津市政府下令國營企業將資料搬進官方公雲

中國天津市政府近期發布「關於加快推進國企上雲工作完善國資雲體系建設的實施方案」，要求所屬企業逐步將資料搬遷到官方建置的雲端平臺「國資雲」。這份文件明確要求天津市政府所屬的國營企業，不能再建置新的資料中心，也不能購買伺服器和其他儲存設備，甚至還明文禁止國營企業與阿里巴巴、華為和騰訊等中國私人公雲，甚至也不能與國營電信業者如中國移動等，續簽或是簽訂新的雲端合約。

這項新方案極可能不是單一中國地方政府所採取的行動，四川政府今年也發布了自家的「國資雲」，日後也可能跟進宣布相關規範。雖然中國地方政府仍需仰賴雲端業者建置和營運政府雲端平臺，但「國資雲」的出現，大大撼動了阿里雲、騰訊雲等雲端平臺在中國政府企業市場的影響力。此外，中國「數據安全法」將於9月1日生效，規範企業轉移資料到境外的行為，因此，蘋果、特斯拉等外商都已在中國建置資料中心。

  AWS     備份服務     法遵狀態監控   

AWS備份服務新增備份檔法遵狀態監控，還能自動生成企業內部稽核報告

AWS近日為備份服務Backup新增法遵狀態監控功能Audit Manager，提供企業監控和評估應用程式備份的法遵狀態，以確認狀態符合業務和法規的要求。通過新功能的自動監控機制，企業可以持續地追蹤應用程式備份的變化，像是備份計畫或是備份保管庫的更改，並可取得自動生成的每日報告，來向稽核人員和監管機構說明其法遵狀態。

新功能的實行關鍵是，內建了可供企業自定義的法遵控制元件，也就是具有備份政策參數的程序，例如備份頻率、備份保留時間等符合法遵要求的項目。企業在建立新功能的控制框架，以及設定監控的帳戶和地區後，可添加需要的控制元件，由控制元件自動追蹤備份的活動，還有偵測違反定義的資料保護政策行為，讓企業能快速修正錯誤。新功能已經在東京、首爾、香港、新加坡、俄勒岡州、法蘭克福、巴黎等許多AWS地區上線，企業進入AWS Backup控制臺後，就能開始使用該功能。（詳全文）

  Google App Engine     AP安全       權限管理  

Google App Engine新增兩項AP安全強化功能，不同部署版本能指定不同服務帳號來控管權限

Google日前更新無伺服器應用程式託管平臺App Engine，新增兩項功能，要強化平臺上應用程式安全性。第一項新功能是出站流量控制功能，Google利用Cloud VPC服務中的無伺服器VPC存取功能，讓企業可配置連接器，來安排請求從App Engine應用程式路由到自己的VPC網路，而藉由新的出站流量控制功能，企業能更好地控制使用VPC連接器的流量。

另外，平臺加入了用戶管理服務帳戶，供企業為應用程式的每個版本，像是部署版本等，指定不同的服務帳戶。原先App Engine使用預設服務帳戶，來代表App Engine應用程式與其他GCP服務互動，而這個預設服務帳戶是在初始App Engine應用程式時設定，因此這個帳戶被應用程式的所有服務使用，所以所有服務都共享同一個權限集。通過用戶管理服務帳戶功能，企業可以為應用程式的每個版本指定不同的服務帳戶，縮小每個服務帳戶需要的權限，以實踐最低權限管理方法。如果企業未指定服務帳戶，則App Engine會使用預設服務帳戶。（詳全文）

  微軟     成本管理     成本分析   

Azure成本管理服務小更新，企業可下載巢狀資料更細緻掌握各別資源用量

微軟近日更新成本管理服務Azure Cost Management and Billing的成本分析預覽功能，供企業對欲分析的資料項目有更多的掌控。企業現在下載雲端資源使用的相關成本數據時，可下載巢狀資料形式的版本，並決定下載資料呈現方式是否要涵蓋巢狀資源組、計量等。改版後，企業可以從資源使用視圖，看到每一個各別資源的計量資訊，能進一步作為拆解成本使用狀況的參考依據。此外，成本分析功能還新增了自動下載能力，可設定報告周期，定期產出成本報告，並可整合UsageDetails API，來取得原始、未過濾的成本數據。（詳全文）

圖片來源／Wiz、AWS、微軟

  更多Cloud動態  

1. F1一級方程式賽車搬遷過去70年來15萬小時的賽事影像上AWS，以進一步分類整理做大數據分析

2. Google雲端機器學習平臺Vertex AI現供企業透過VPC網路對等連接，部署ML模型至低延遲、高安全性的私有端點（詳全文）

3. AWS自動萃取文件內容服務Textract在多地區降價最高達32%，並縮減5成端到端作業執行時間（詳全文）

資料來源：iThome整理，2021年9月