「今天一早得下載修補程式、然後軟體要升級,昨天發現林大頭又給我亂下載檔案,明知道電腦充滿間諜軟體卻抓不到…,昨天發表的新病毒不知道何時會發作?我也知道資料備份很重要,但是老闆請跟我說我應該存哪裡?還有一句肺腑之言,嗯..老闆你的電腦當機其實最不重要,但我卻得最先修好它…」『小李!公司對外SERVER 又出問題啦!趕快去處理。』
全公司上上下下的電腦加起來近百台,光是幫同仁電腦『做服務』的雜事就快腿軟,每天資安事件的威脅,更是讓勢單力薄的IT和資訊安全人員如坐針氈,但精疲力竭和忐忑之餘,企業IT/IS人員就真的能扛下這個企業安全的重責大任嗎?
隨者企業的成長或整併、專業人力的流失或得之不易、預算成本的考量、設備擴充速度或更安全的維運模式等諸多因素的推波助瀾,讓委外的議題不斷地被關心,而IDC(Internet Data Center)的管理服務、可靠性和便利性,以及節省成本的具體效益,這些吸引力似乎讓IDC成了不可擋的趨勢而讓企業躍躍欲試。
然而站在IDC委外的十字路口,現階段各家廠商的服務內容眾說紛紜,讓人霧裡看花,裹足不前;回頭看看捉襟見肘的資安預算和專業人力不足的窘境時,又讓人只能搖頭長嘆,暫且還是別說自建IDC了…。
企業用戶需求
在行業類別中,只要是視資料安全保護為第一要務,且員工人數過百的企業組織,對IDC都有顯著的需求,舉凡金融證券、電信服務業、政府單位、保全業,以及大型企業等皆是IDC的主要客群,其中大型企業對IDC的項目需求愈是完整複雜,且更有自行建置能力,而其選擇IDC委外或自建的考量是基於?減少維運與管理危機,其次是成本和人力的問題,亦認為資料保護應親力親為,多不願委外。
政府部門和中小企業對減少維運和管理危機,以及可提供快速服務的期待值相當高,是相當具潛力的市場;雖然兩者生態大不相同,但是對IDC客制化的需求卻很相近,主要是因為資源有限,期待透過委外尋求技術支援和安全可靠的代管,但也因考量現有的選擇無法盡善人意,和熟悉度不足,以致於多數仍持觀望。
不管是何種用戶類別,穩定性和可靠性都是他們在意的話題,其次是IDC是否有通過相關的驗證來替服務提供者背書,都會影響用戶做委外服務時的決策。
IDC在做什麼?
目前IDC的服務項目可分為3大項目:
設備代管服務:Co-Location主機代管、Web/Mail Hosting網站代管、郵件代管、專屬機房、Dedicated Hosting 專屬主機代管、機房設施管理、實體保全。
管理服務:防火牆、入侵偵測、弱點掃描、負載平衡、專業網管服務、伺服器監控、流量監測、資安事件管理與通報。
備援服務:線上儲存備份、log備份、骨幹備援、Disk/Tape Backup資料備份、資料儲存服務,異地備援、設備租賃、人力委外、磁帶異地存放。選擇IDC委外服務時,最重要的考量不外乎資訊安全,亦即資料層的安全;當你將公司最重要的機敏資料交到他人之手時,你的資料被儲存的完整性與保密性是否妥當?因此,本機安全的維運情形、IDC內部網路安全的建構密度、防禦DDoS攻擊的能力指數,以及7 x 24安全監控能力又如何?這些都該是你應該最關心的部分,因為這些服務都關乎企業是否永續經營的課題;事實上,也是IDC服務中最基本的服務功能。
實體安全
安全可靠的IDC實體環境應具備的條件,除了建築物本身是否為高防震結構、防水系統,還涵蓋了空調系統、溫溼度控制、標準的消防系統、機架設備、樓面地板特殊設計、特殊電源及不斷電系統等,以及大樓保全、門禁、監視系統等安全系統和網路備援都必須被巨細靡遺的規範和檢視。
網路安全
主機放進機房之後,業者提供的防火牆、網路架構為何?企業需事先了解,貨比三家,才能找到適合自己的解決方案。有的廠商可能是提供防火牆、防毒、入侵偵測、入侵防禦的基本配套服務,有的廠商針對企業需求強調弱點掃描及負載平衡幫客戶阻擋網路層的惡意攻擊。
在導入初期,必須先評估整個IDC服務能夠做到什麼,貴公司機器放進IDC之後的網路架構有幾層,同一LAN下面的機器是否具備相同安全等級。IDC 採用哪一種的網路防禦設備,他的整合性與搭配能力是否能夠滿足需求。
防禦DDoS攻擊能力
DDoS攻擊是目前最常見的網路威脅之ㄧ,在國外企業遭Botnet駭客勒索威脅時有所聞,企業將重要的伺服器委託IDC管理,除了上述的優點之外,最重要的一件事就是把燙手山芋丟給ISP以及IDC處理。當然也包括了DDoS的防禦機制,一般而言,遭遇到DDoS攻擊必須先找出攻擊的路徑與部分來源,透過路由器逐一擋下攻擊流量,這是非常消耗人力的苦差事,讓人避之唯恐不及。
IDC必須妥善考慮此問題,因為你的客戶百分之一百會遇到,這也是各IDC之間突顯出差異性的價值所在。目前IDC對於DDoS的防禦機制分為主動式與被動式兩種。透過主動監測網路異常封包,一旦發現DDoS的攻擊徵兆馬上自動採取阻斷機制,從路由器端就把攻擊封包攔下;另外,也採用人工土法煉鋼的被動式防禦,亦可達到防堵DDoS的攻擊。至於此兩種方法,孰優孰劣、見仁見智。
7 x 24 x 365全天候安全監控
IDC的資安監控功能必需是7 x 24全天候的服務,能主動監控是否有違反安全政策的非法存取行為、網路濫用或誤用的狀況;在發現並確認為可疑的網路活動時,於簽訂的時間內通知客戶的安全事件連絡人員,提供適當的處理建議;以及需能提供即時掌握網路病毒(蠕蟲)及高風險攻擊事件等;服務更完善的IDC可提供7 x 24的諮詢服務,當客戶發生可疑資安事件時,可隨時與業者連繫,獲得事件相關說明和建議。
加值服務
各大供應業者的配套方案會加進來一些網路管理的服務,視企業用戶的需求不一,諸如資安防毒、防駭,弱點掃描服務、資安事件管理、入侵偵測等,不過羊毛出在羊身上,企業用戶應以實際需求為第一考量,以免資安事件發生時才學到「省小錢花大錢」這一課。
多少錢?
IDC一些主要的服務項目,費用大約是多少?你可以依公司的硬體設備和專業人力狀況,甚至是企業的文化習性等實際需求,來選擇個別服務,即便是供應商都有套餐式的服務。收費方式,則視各供應商的配套方式和服務優勢而異,也有一次性費用和每月付費的不同方式,企業可將委外的工作範圍與需求,或是對業者的服務品質是否可預期考量進來。
從各家廠商的價格上看來,企業每月大概只要花6~7萬元,就能具體改善IT或MIS人員可能得包山包海,卻『什麼都做、什麼都沒做好』的窘境了。
有形的信任關係─SLA與稽核
SLA 服務水準協定
聽起來還不錯!這樣的費用似乎頗吸引人,但如何確保你的褓母不會在你的北鼻牛奶裡加安眠藥呢?據我們對用戶端的調查,受訪者幾乎認為,即便是忙到焦頭爛額仍對委外這條路感到怯步,問題在於─當企業將主機放到Data Center後,如何確保安全的品質?SLA服務水準協定(Service-Level Agreements)即是建立IT委外服務信任關係的基礎,稽核檢視則是確保信任關係可長期維繫的重要因素。
為了確保IDC的服務品質及資料安全,企業和業者在正式建立商業關係之前,必須先協商簽訂SLA正式合同,將企業與業者對服務的內容、水準、期望和要求等任何可能使合約無效的事項清楚的定義與描述;其牽涉範圍相當廣泛,從服務的範疇與責任、安全機制、網路效能、支援服務到違反服務水準之後的罰則等皆包含其中;同時,服務期間可能會有新的服務和新的使用者,所以在協商服務水準協定時,亦應保留適度的變動彈性。目的都在將企業的期待與業者實際可提供的溝通差距調整為零距離。制定SLA的關鍵在於,熟悉提供服務的廠商所提供的罰則是其能真的控管的事項,而不單只是一套由企業客戶所提供的標準量測資料。
稽核作業
在服務水準協定中,為了委外系統的長期發展,提升績效,需持續不斷地改善各項相關作業,因此,稽核作業被視為重要的管理工具。
稽核作業是個龐大專精的工程,一般企業用戶較不可能直接對業者稽核,也容易產生盲點,因此,透過具公信力的第三方加冕,也就是通過安全驗證的廠商,可以讓企業將重要資料委外一事提升至更高層級的保障。幾個參考性的驗證指標,如確認IDC是否為通過ISO 20000、BS 7799認證或SAS70(第70號稽核標準聲明,Statement on Auditing Standards (SAS) Number 70)
SAS70是由美國註冊會計師協會 (AICPA, American Institute of Certified Public Accountants)所制訂的標準,經過國際認可。SAS70識別並界定組織的控制目標、測試控制機制的實施成效,針對環境提供意見,幫助服務提供者切實遵守其客戶和稽核人員提出的稽核要求,被公認為針對服務提供者的環境 (包括網路和相關程序的控制機制) 所進行的深入安全性稽核。
企業本身當然也不能置身度外,安心的睡午覺。如企業委外的比重大者,企業可自行組織稽核小組,或透過第三方?顧問公司和技術人員的協助對委外廠商進行定期與不定期稽核作業,關鍵在於持續性,並經常檢示與修正內容,以及早發現問題,降低委外作業風險。
結論
由於網路環境的複雜化和危機伺伏,企業中資安成本的現實考量,不論是從設備面或是人力的投注,畢竟不敵專業的技術團隊和完善的設備架構;然而,面臨把資料安全委託他人的關鍵時刻,要安心的說出「我願意」三個字,內心還是得交戰一番。無論是在遞減的預算和迅速增加的風險中,或是在委外服務與自建管理中,如何取的一個平衡點,是企業用戶的申論題。