https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

雲端拾級而上 安全扎根向下之(一)雲深不知處? 私有雲端安全停看聽

2010 / 04 / 29
曹乙帆
雲端拾級而上 安全扎根向下之(一)雲深不知處?  私有雲端安全停看聽

與過去傳統實體IT環境相較,現有安全機制到底能否在私雲環境中發揮作用?還是需要另外專屬的方案?這些都是有意導入私雲的企業務必關注的焦點。

 

私雲建置注意要點

在私雲環境下,所有資源或多或少透過虛擬化、自動化或整合運算等技術整合在一起,整個IT服務的邊界可能涵蓋所有伺服器到整個網路,不但管理難度與複雜度相對提高許多,不同服務及安全等級的劃分,也更加棘手。趨勢科技全球研發長暨亞太區執行副總裁張偉欽談到,若要考量到未來走向雲端,有在規劃私雲的企業,現在開始要選擇工具,整個programming要改,因此在導入私雲前,重點應該是要將標準訂下來。

 

HP企業系統與服務事業群雲端運算總監范欽輝進一步闡述道,企業在建置私有雲端時,不但要將所有內部IT資源虛擬成為一個個極具動態彈性的資源池。更重要的,這些資源池必須進行端到端的調配及控管,其中尤其是網路的存取與派送。如此一來,便可無縫地將CPUIT資源,從安全等級較低的網路區段,順暢無礙地移至安全等級高的區段裡。

 

不過,光就資源面的整合並不夠,IT管理部門的整合也是務必克服的重點。隨著虛擬化及雲端技術的導入,企業內部基礎架構資源多半朝著整合的方向發展。但在權責劃分與協同作業上,是否達到良好的互動與整合,往往也對資源整合效益的發揮有很大的影響,畢竟不同IT管理部門所關注的重點,以及優先順序的考量都不同。

 

基於安全政策的整合範本 精確掌握資源

對此,范欽輝認為,自動化的建立將在上述狀況中發揮重要積極的作用。企業必須針對不同IT管理部門擬定出各種資源政策或安全政策,再匯整成不同的範本並以服務的形式呈現。該範本會依據事先設定好的政策自動化地進行佈署,如此即可大幅提升整體IT資源的整合與調配效率,並且符合一定程度的安全需求。再來則是組織文化層面的衝突問題,這也是企業建置私有雲端服務時,在技術層面之外,會首先遇到的最大問題。面對複雜的資源整合環境,IT管理人員必須透過適當的工具來掌握資源的精準彈性分配作業,同時提供工具讓使用者清楚了解資源服務的確切使用等級與狀況。也因為如此,遂衍生出當前雲端服務最常強調的使用者付費概念。這個概念也可套用在私雲環境中,IT人員可藉此讓整個IT預算透明化,同時使用單位也可以了解自身資源的使用程度及狀況,將重點放到如何讓IT資源使用率最佳化,並降低資源浪費的程度上。 此外,為了顧及整個雲端共享機制的彈性與順暢,企業推展私有雲端服務初期時,必須針對不同部門進行測試,確定該部門本身沒問題,而且不會影響其他部門之資源共享時,才可以對該部門提供正式服務。

 

廣義虛擬化:連接實體與虛擬

在大型企業環境中,從總公司到各分支據點,都擁有十分龐大而混雜的基礎IT資源,如何將這些資源做有效率的整合,通常會是最先或最急迫遇到的課題。IBM全球資訊科技服務事業部顧問經理陳俊昌指出透過虛擬化技術,不但可以大幅提升IT資源的使用率,連帶的電力、能耗與管理成本都可以獲得明顯降低。

 

一般人多半狹義地將伺服器虛擬化技術,亦即在主機上透過虛擬機器軟體切割多個虛擬機器的技術才叫做虛擬化。其實,能為雲端加分的應該是指廣義的虛擬化而言,亦指所有IT基礎資源的堆疊是完全被打散,透過邏輯的分割與彈性拆解。

 

但偏偏有些應用服務就是不適合走向虛擬化,抑或無法從虛擬化中獲得明顯的效益。尤其一些IT資源的分配,往往會被特定的硬體綁住,而無法達到彈性化分配的效益與目的。例如當前每片網路卡上都有專屬唯一的MAC AddressSAN HBA光纖網路卡也都有獨一無二的(WWN)World Wide Name定址。一旦某資源被指派到某片網路卡或HBA卡,資源與卡的緊密綁定關係就此確定。之後伺服器若要進行系統移轉時,必須透過重新的指派設定,才能重新取得分配的資源,這對於虛擬化或雲端的推展都極為不便。

 

對此,例如HP就透過所謂邏輯伺服器(Logical Server)概念來解決,該概念亦即將虛擬化環境中的實體機與虛擬機皆通稱為邏輯伺服器,如此便不需要再麻煩地對實體與虛擬機分別管理,透過管理軟體統一控管。所有邏輯伺服器是透過虛擬化連接(Virtual Connect)技術,與區域網路或儲存設備相連接。該虛擬化連接模組中包含了一些設定檔,設定檔中儲存了特定網卡的MAC AddressWWN定址等資訊,一旦任何實體或虛擬伺服器進行系統移轉或新增新的伺服器時,只要套用該設定檔即可連接上相對應的IT資源,而不需要麻煩地重新設定。

 

進入私雲後 相對應的安全方案

在私雲的共享環境下,多半會對各分支據點業務領域的獨立性與安全性造成影響。畢竟過去業務單位的分佈位置及權責劃分都十分明確,隨著私雲的建立,如何掌握動態資源的分佈情形,同時又能維持業務之間的隱密性與獨立性,絕對是進入私雲環境後最需思考的重大議題,陳俊昌特別強調。

 

事實上,在私雲環境中,不盡然都能找到相對應的安全防護措施,這也是企業在私雲導入時需要特別釐清的重點要項。雖然私雲不盡然都是建基於虛擬化技術之上,但對於大部的私雲而言,虛擬化安全是最主要的安全隱憂。大致有兩個地方需注意,一為虛擬機器所衍生的問題,一為虛擬網路間資料傳輸的狀況不明。在伺服器虛擬化環境下,實體機中可能同時切割多個虛擬機器,不但安全防護變得更加複雜,同時虛擬機器軟體本身也有漏洞風險需要關注。

 

也由於不是現有安全防護方案都可以解決雲端上的安全問題,所以企業在另外尋求專門針對雲端環境的安全方案時,也可能會有額外的安全支出,這點也是企業需要事先做好心理準備的地方。

 

走入雲端前  先進行IT服務可行性評估

面對私雲的安全問題,范欽輝強調表示,不是所有IT服務在現有情況下都適合走向雲端,其中尤以對安全考量有特殊要求的IT服務為然。因為貿然投入可能會對其他服務造成影響或造成無謂的成本支出。畢竟打造雲端環境的最顯著效益就是彈性,但彈性往往卻與安全背道而馳,若只為了某特定IT服務的需求而遷就安全,那麼彈性勢必大打折扣,致使整體效益受到影響,那就失去建置私雲的意義。對此,他建議企業在導入私雲之際,務必先對現有IT服務進行分類,凡有高安全性考量的服務,必須慎重全面地考量其跨入私有雲的可行性及影響性才行。

 

陳俊昌建議,企業必須將內部既有的各種安全防護措施,包括防毒、身分認證、存取控制、網路安全等項目進行清楚的分類。並檢視這些項目在雲端環境中是否能發揮應用的防護作用。換句話說,針對各種防護面向,企業在私雲環境中務必找到相對應的安全解決方案,否則會形成安全漏洞及疑慮。儘管今後市面上會有愈來愈多專門針對雲端環境的安全防護方案陸續問世,但企業仍然可能會有找不到相對應安全措施的可能性。對此,企業就必須以風險管理的思維來因應,除非該IT服務雲端化的商業價值遠遠大於安全風險,不然就沒有走入雲端的必要性。

 

由此衍伸,企業應該依據安全風險的可控管程度、IT屬性,來為IT服務進行分類,以區分出哪些服務適合或不適合雲端。(詳見IT服務適合雲端與否分類建議表)。

 

私雲的資料流程稽核或法規遵循,也參照以上評估原則,除非原有工貝無法在雲端上有效運作,例如效能不佳以致抓不到更詳細的細部資料等。再就系統備援來說,在過去實體IT環境中,建立高可用性的系統冗餘備援機制,往往需要額外一台相對應的實體裝置來搭配才行, 整體投資成本可能多達一倍。但在私雲環境中,安全風險已被平均分散,IT管理人員只要進行相對應資源容量的額外切割,便可機動地進行安全備援。

 

IT營運環境:傳輸、加密、端點

儘管在私雲中使用者不確定最終資料會傳送儲存到哪一台伺服器或儲存裝置中,但現有技術仍可達到針對特定需求或使用者的資料傳輸進行加密或權限控管等防護機制。企業雲端中的IT基礎資源是個標準化服務元件,所以是基於共享的原則而打造。但整個雲端資源使用者並非全都有加密保護的需要,如果基於特定需求而添加特殊安全保護機制,可能還要額外擴展網路頻寬,如此不但形成投資上的浪費,同時也會造成其他使用者使用上的不便。若有上述安全要求的使用者數量不少時,大型企業或許可以分別建立安全服務等級不同的個別私雲環境以為因應。

 

由於私雲是個資源共享的平台,一旦有任何安全風險,影響的層面與程度將為更廣、更嚴重。所以企業針對雲端運算端點安全問題,更需要格外注意並加強才對。

 

私雲建置實例

HP

就私雲的建置實例而言,HP分享該公司經驗,從2005年起HP將原有全球各地85個資料中心,整合縮減成6個,並且開始全面推展共享式服務(Shared Services)概念,將所有應用服務堆疊標準化,並進一步將資料庫變成資料庫池、應用軟體變成應用軟體池,各應用服務並依據不同需求及季節性因素進行資源調配。

 

由於過去系統資源皆散落全球各地,很難達到安全政策的一致性,在整併過程中反而讓整體安全性提升。尤其一些較小規模的分支據點,在有限的資源及經費下,往往無法嚴謹地達成該有的安全要求。在上述整併過程中,仍然有一些安全等級較高的IT服務無法加入共享式服務體系中,對此則採用獨立建置的方式來因應。透過上述種種改革,原有整體IT支出,從高達整體營業額4%的占比到如今的2%IT資源及應用服務的使用率得以大幅攀升。

 

再就HP的測試開發環境來說,由於測試環境會隨著不同專案的需求而有劇烈的變動。針對某特定專案所配置提供的測試環境與裝置,多半在專案結束後就不再使用,由於不確定之後專案是否會用到,多半寧願閒置也不會分享給其他部門使用,如此不但資源的使用效益不彰,而且極易造成資源及預算的浪費。對此,HP特別將所有資源集合起來,並以入口網站的形式對內提供服務。測試單位只要針對特定專案填寫需求單,即可取得想要的測試環境。一旦專案結束,會收回IT資源轉供其他單位使用,同時並將該環境複製下來,以供未來同一單位的改版測試之用。由於效益顯著且建置複雜度及門檻相對較低,不失為企業導入私雲的最佳切入點與捷徑。

 

IBM
同樣的,IBM也在其CAD/CAM電腦輔助設計與製造實驗室導入電子設計自動化雲端服務(EDA Cloud)。在此之前,原本實驗室共擁有多達1萬多台的伺服器,由於CAD/CAM有高達9成皆屬牽涉到複雜運算的批次作業,由於資源耗用度高,導致機台使用率卻不到15%。隨著EDA的導入,便可機動地將上述批次運算作業彈性調度到空閒的機台上,一旦系統耗用達到9成,會自動分配到其他機台上。也因為如此,使用率立即攀升至90多個百分點,而且整體伺服器數量也下修至3千多台,管理成本與能耗更得以大幅降低。這也是台灣許多IC設計服務與製造業者,甚至一般企業的研發部門來說,欲以借鏡的雲端運用案例。

 

此外,IBM所提供的盤古雲端服務平台(Pangoo Platform),也提供了一個快速導入私雲的捷徑。該平台可將應用程式、資料庫及執行環境封裝成單一可以彈性複製的應用虛擬實例(Application Instance),它與常見VMWareHyperV等虛擬技術將整個作業環境封裝成的虛擬實例不同,能夠讓硬體資源的佔用及建置成降低。企業可以藉由應用虛擬實例的簡單複製,達到應用服務資源之彈性分派,以及各種雲端應用的發佈與開發。

例如位於無錫軟體園區專營ERP烘培管理線上服務的軟體公司,即透過盤古平台,協助其客戶85C等烘培業者快速展店。烘焙業者不需麻煩地建置POS進銷存等系統,只要透過瀏覽器便可存取軟體公司所提供的ERP SaaS服務。