創新營運模式來臨
根據ENISA歐盟資安局日前的調查,企業採用雲端運算平台的原因,前幾項為「減少委外所付出的軟硬體、IT支援與資安管理成本(68.1%)」、「IT資源的彈性運用與擴充性(63.9%)」、「籌獲業務持續運作與災害復原的能量(52.8%)」、「增進商業營運之運算與應用功能(29.2%)」。單從調查結果的比例來看,雲端運算平台與應用服務,似乎是以減少成本和增加商業營運應用能量的角度出發,其次則為企業提供另一個備援與高可靠度的應用平台。這樣的結果是否僅為企業用戶一廂情願對於雲端運算的認知下的選項?
根據這份報告看來,以雲的「層次(Layer) 」來看,有34.2%的用戶想採用其軟體服務(SaaS架構)、而欲採用其作業系統平台與軟體服務(PaaS)者為 28.8%、採用基礎架構與儲存、網路者為 24.7%反而逐層遞減,如果只要使用雲端的安全服務功能者,僅剩下 9.6%,同時有七成以上的企業願意採用多重供應商所提供的雲端服務,顯見對於雲端運算之信賴度尚不足。在應用系統功能別上,以CRM和業務銷售系統的接受度最高,主要原因可能是現有廠商之成功案例較高、系統較成熟,其次則為在雲端平台上開發應用系統,再來才是專案管理系統、薪資系統。而最不願意放在雲端的系統則是採購與人資管理的系統。這樣的結果也吻合企業對於雲端的疑慮,主要在於隱私、對於資料、服務的控制,企業資料的機密性、與現有環境系統的整合問題等。
因此在ENISA另外一份報告中,建議雲端用戶可以從幾個風險評估的面向來考量,以及所採用的雲端平台能否或願意接受稽核上的要求。一般用戶在評估雲端平台時,會先從採用雲端平台所衍生的風險作為評估的第一步,其次則比較各家平台的服務差異,選擇平台並確保可獲得相關保障,運作後要以安全控制來減少潛在風險的發生及提前偵測的能力。在此報告中,告訴企業用戶如何做雲端平台的風險評估的方法,同時也提供了您未來在選擇雲端平台與服務的評量項目,其內容摘要如下。
採用委外服務或雲端架構,而失去主導控制,要轉換廠商不容易(Lock-In),的確是企業在考量委外服務的重要關鍵,包含在合約中的服務水準衡量與服務中止的處理,應該要將轉換資料、應用系統與服務的配套與配合工作列入,以免形式上的綁架與惡意勒索。另外在共用平台時,就是像是一起住在公寓裡面,對於事故與錯誤的隔離(isolation failure),包含記憶體、儲存裝置、網路、CPU等,應該要有基本的隔離與保護,並且可以避免客戶跨區的攻擊(guest-hopping attacks)或攻擊主控台(hypervisors)以維護客戶管理介面的安全性,才不會因為總部被入侵而導致客戶遭受更大的風險,例如安全監控中心遭受入侵,所有客戶之安全組態與防禦架構等於是被摸透透。
在雲端本身上的技術能力,也就是大型系統與架構的資源管理、互通性、穩健程度上,是否能提供更便宜的安全與服務、作為商業差異化的競爭條件,則必須考量在技術面與法規面上的各種風險,是否能夠最小化,令客戶可以放心的在這個平台上作商業營運的關鍵。其他常見風險包含網路設施中斷、網路管理風險(組態錯誤、頻寬不足)、網路封包內容遭竄改、權限提升攻擊、社交工程或假冒攻擊、營運操作記錄遺失或遭刪除(LOSS OR COMPROMISE OF OPERATIONAL LOGS)、安全記錄遺失或遭刪除(LOSS OR COMPROMISE OF SECURITY LOGS)、備份資料遺失或遭竊、未授權存取或進入(UNAUTHORIZED ACCESS TO PREMISES)、電腦設備失竊(THEFT OF COMPUTER EQUIPMENT)、天然災害(NATURAL DISASTERS)等之保護作為,不限定於雲端平台與服務,亦可列入評比之考量。風險等級的低中高可以參考新版 ISO 27005:2008 所建議的風險等級表格,其中針對發生率和衝擊之等級,低度與高度兩者再區分出極低(Very Low)、極高(Very High),提供更細緻的評量區分。(見表1)
在雲端平台中的商業活動可能還有一項潛在的風險,就是智慧財產權的議題,目前少有業者碰觸到此議題,在商業活動已經委外至雲端供應者,其在智慧財產權上的保護與風險管理,可能就沒有在企業內部來得順利,包含揭露構想的記錄、運用雲端平台才能達成的商業模式,其智財權是否必須要和平台業者共有,都還沒有太多的探討。
此外Cloud Security Alliance雲端安全聯盟(http://www.cloudsecurityalliance.org )亦在2009年12月公佈了雲端關鍵安權參考指引第二版,針對雲端架構的治理、法規遵循、稽核、資訊生命周期、可攜性與互通、營運、事件處理、持續營運與災害復原、應用系統安全、身分識別與權限管理、加密與金鑰管理、虛擬化等13個領域,提供相關的背景知識與評選建議。
後語
評估雲端平台與服務之風險條件,將來亦可運用於後續營運與導入後的稽核項目,本質上在所有安全風險項目,應該有其對應之安全控制用以掌握風險的變化與確保其在可接受的範圍。此外,雲端平台的營運者之財務狀況、經營績效與理念亦為重大的評估資訊來源,包含對於重要事件的危機處理態度,例如是否有效的完成資料外洩通報與處置,可以參考歷史事件與其處理態度。企業因為要降低成本、增加競爭力的同時,要將命脈交到可以信任者的手上,記得秉持精挑細選、寧缺勿濫避免一窩蜂熱潮過後被綁架在高點。