「採用雲端運算技術,在許多CIO心中,是很炫的一件事。」美國雲端安全聯盟資深資安專家Tim Mather來台出席國際資安技術高峰會發表演講時,提到許多企業一窩蜂上雲端,急著評選各種SaaS,PaaS或IaaS廠商。但他認為最重要的不是廠商,而是先瞭解你自己。
CIO必須先問問自己哪些資料要上雲端,以及了解企業上雲端的目的為何,接著才是來找雲端服務廠商。Mather指出,決定採用哪些雲端服務前,組織必須先制定明確資料的分級政策,先了解哪些資料適合放在雲端。在美國也有許多Fortune 1000大企業採用雲端服務(此指公雲),因此他不認為雲端服務只適合中小企業。此外,CIO也必須了解企業對於上雲端之後的期待是什麼?任何雲端都不會是座孤島,因此如何將雲端上的資料與原本企業內網的後台系統整合,也是CIO必須事先考量的。接著才是審慎評估雲端服務廠商。
此外,CIO必須清楚現有的資安技術,尚未能支援雲端環境。包括金鑰管理、防制資料外洩(DLP)、資料淨化、聯邦式身分管理及資安事件管理平台(SIEM)等對於雲端上的資料保護都有其限制。尤其後者,過去的SIEM可以從多種設備匯集(aggregate)資料,但雲端後卻無法將資料依不同用戶做分解(disaggregate),而這將造成後續資安事件調查、鑑識上的困難。因此他提出,需要有能支援雲端環境的SIEM v2.0。
最後,雲端依然是很好的技術,但非敏感、非機密、與法規無關的資料才適合上雲端。例如客服中心的網路語音系統是個例子。