https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

稽核人員的 "Cloud Aware"

2011 / 01 / 10
田振宇
稽核人員的 "Cloud Aware"
為了確保資安能被確實做好,內稽、外稽勢必少不了,但是企業,甚至機關單位對於資安稽核的了解,只知道是需要去做,而在實際上執行時,卻是一頭霧水不知從何開始。

資安稽核的基本,是對於企業或單位內的資料控制的檢討,是去了解並能解釋資料是如何由提供資料的後端系統架構到使用者的手上。在這個基礎上,去討論資料的流動是否合理,或者是有任何不當的行為可能造成資料的外洩。

依照一般的資訊安全需求,我們可以將稽核要求分為這幾大類:
1. 系統及應用程式:系統及應用程式的稽核是以確認被稽核單位中的系統及應用程式可以用符合規範,有效率並有確實控制的機制下提供正確、即時、可靠的資料,並同時對於系統的輸入、處理和輸出有安全的控制。
2. 資料處理系統:資料處理系統的稽核是以確認被稽核單位中的資料處理系統可在正常或可能性的異常情況下對所接收的資料做即時,正確和有效的處理和輸出。
3. 系統及程式開發:系統及程式開發的稽核是以確認被稽核單位中的系統及程式開發過程中有達到該企業所提供的規範,並符合一般系統開發的原則。
4. 企業資訊架構:企業資訊架構的稽核使以確認被稽核單位中的資訊架構,包含客戶端(Client),系統端(Server),Internet,Intranet,Extranet,和其他相關的網路連接系統可以以有效和可控管的情況下進行資料的傳輸。

綜合以上幾大類,我們也可以將資安稽核總歸於「基礎控管評審」和「應用程式控制機制評審」的稽核。

但是為何要做資安稽核,想必對於一般人來說除了耳熟能詳的個資法,信用卡/支付卡法等法案外,資安稽核的根本和必須執行的原因是為了做到有效的控制。在安全基本要求中,資料的保密性(Confidentiality),完整性(Integrity),和可使用性(Availability)為三大的主要需求。在這些不同的層次中,必定有他所需要的控制因素(Control Elements)而這控制因素基本上可分為三大類:

1) 保護/防範控制
保護/防範控制最主要是主動的定義和在可能的情況下執行可接受的活動限制。舉例說明,一個法規會針對企業內的資訊系統規定出一套符合該法規中安全規律的最低要求。而企業也需要在能夠維持一定的資訊服務品質下去達成法規中的安全條例,並在規定的時間內對這些條例進行檢討。這些法規中的最低要求就是屬於保護/防範控制中的一部分,因為能夠達成這些最低要求,才屬於所謂可控制的環境(Controlled Environment)。

2) 偵測/檢測控制
偵測/檢測控制一般都並沒有被嚴格要求,而被當做是找出資訊問題的一個環節。簡單來說,任何相關監控的活動都可歸類於偵測/檢測控制中。舉例說明,在法規的規範中,一定會有發生與法規不合的錯誤,不管是蓄意或非蓄意,都需由監控的過程當中去發現並改善。而一般對於稽核人員來說這是最繁雜也最難的過程,但卻是不能忽略的重要環節。

3) 反應/修正控制
反應/修正控制通常是在偵測/檢測控制後所發生的行為,通常是針對無法接受的嚴重問題做修正及反應。一般來講,在資安稽核中所發現的問題,接屬於必須反應及修正的項目,但目前在於稽核人員的態度上,多半先行警告而並未列為缺失,這往往就會造成在安全稽核上後續問題處理的速度。

總和以上介紹,雖然是針對資安稽核的基本做了解,但是因為目前的資安稽核機制上對於一般人來說並沒有辦法完全了解,因此對於企業內部所做的檢討,要以什麼態度來稽核,變成現在先需要討論的問題。在了解了企業內的資安稽核的需求後,我們接下來看雲端的資安稽核問題。

客戶的「可稽核權力」
在國外,每一個雲端稽核的服務提供商在他們的服務合約中,因國外法規要求,都有所謂的可稽核權力(Right to Audit)。也就是說今天在客戶使用這個雲端服務前,客戶有權力可以先對該雲端服務廠商的安全性做稽核,當符合後再使用服務。並在定時的週期中,客戶亦有權力進行在稽核,確保雲端的安全性。

可稽核權力,是將責任歸納至客戶端,但同樣的對於服務廠商而言,這絕對是一個增加工作量的事情。但相對的,這個稽核的過程絕大部分都偏向於技術稽核而非規範稽核。而在一個技術稽核的基礎上,通常只是詢問該服務廠商是否有達到這企業所要求的資安規範。所以這些稽核都是以問卷導向,並不是一個實際的稽核流程。

因此,可以發現目前在國外很多跟雲端相關的資安問題,一般企業都是拿他們本身企業內的規範要求服務廠商符合。而在這些資安規範中,又有許多是不切實際的規範。筆者就曾經拿到一份企業的資安規範,而該企業要求雲端服務的提供商配合達到規範要求。可是其中的規範裡的一些規範就讓人一笑置之,例如藍芽裝置管理的協議,對雲端服務廠商而言,這應該是有點怪異而不符合實際的需求。

所以當客戶在要求雲端服務廠商達成他們的資安要求時,從稽核的角度看來,可以將一個有合理性的資安規範交給雲端服務廠商要求達成。而不是一昧的將企業內的規範原封不動的交給服務廠商要求他們達成。

雲端的資安稽核
對於雲端資安問題,目前在資安業界有許多的產品開始提供雲端的安全管理。私雲當中的安全問題,當然無可厚非的是一個企業內自己的責任,但當從私雲到公雲時,服務提供者就必須對於其安全性做出對應的擔保。可是在現況,雲端服務的提供廠商,卻沒有辦法對於其公雲服務的安全性有所保證,主要原因是在每個客戶單位對自己的資安要求都有所不同,而無法統一。強烈要求每個公雲服務廠商符合每一種稽核法規,又太過於苛刻。

公雲的服務廠商,絕大部分都是以閉門造車的情況處理自己的資訊安全問題。對於該服務的安全標準,也沒有一個統一的機制去管理及稽核的情況下,國內大部分的企業都是以信任的態度去看待。但是,舉例年初Google所遇到的資料入侵的問題,就浮現了一個最大的弊病。公雲服務廠商在於上面所提的資安稽核機制中,是符合了多少?我們到底要怎麼去看待公雲的安全機制?是否我就只能相信公雲廠商所提供的服務,還是我要更進一步的要求服務廠商提供一個安全的保證?

因此,在現行的機制下,公雲服務廠商多半是以簡易的稽核法規(如:ISO 27001或ISO 20000)為主。當有更多的稽核需求時(例如支付卡法或沙賓法案)這些責任又是落回到使用服務的企業頭上,而服務廠商多半都不進行該法規的稽核。

在這樣的互相推託之下,稽核人員目前對於公雲的服務稽核多半是採迴避的態度,要求企業將跟個人或企業機密相關的資料留在私雲,而不發佈到公雲端。同時,也確保私雲內的資料並不會因為與公雲服務連接造成外洩的問題。但同時,這也限制了企業本身能夠有效的運用公雲內的運算能力,而還是需要仰賴內部系統做絕大部分的資料處理。

在目前的資安稽核機制當中,已經開始將公雲的服務所需要配合的法規規範開始進行切割。例如在支付卡法規費中,已經開始修正對於公雲服務在資安規範中需要符合哪些項目。而比較確切的,公雲服務中的防火牆、入侵偵測系統、災難回復系統以及其他的實體系統控制,都是屬於公雲的資安規範中。而在客戶端,需要確認所有跟敏感性資料相關的資料(如信用卡號、個人資料等)都必須另外儲存在一個實體隔離的房間(實體隔離定義為有實際不可以肉眼透視的牆壁)並不可與一般系統共存於同一層樓內。如可達成這些要素,那這客戶即可使用雲端服務去處理信用卡資料。

但是以實際落實的角度來看,當我們檢討雲端的資安稽核時,其實是可以將資安稽核的基礎概念導入後,對於其服務要求服務廠商配合檢討。在目前的資安規範當中,開始漸漸導入更深層稽核概念。雖然絕大部分的國內客戶並沒有將這個問題浮上檯面,但是在國外,雲端的資安稽核已經開始成為一個必要的執行項目。而每個不同的資安法規,也開始因為雲端的出現而更進一步的修正在法規中可以要求雲端執行和配合的部分。

實施雲端稽核時的建議
當雲端運算提供了這麼多誘人的因素讓企業開始蠢蠢欲動,甚至想把整個公司的IT架構放到雲端的時候,請先想想對於企業本身的資安需求,或是對於不同的資安法規上的要求如何達成。最重要的是,牽扯到敏感資料時,是否可以達到稽核人員的要求。

雖然目前很少有任何法規是為了雲端運算而特別訂製的,也鮮少有稽核人員真的理解何為雲端運算的技術基本和精神,這時候希望使用雲端運算的企業主們就必須了解:

1) 雲端運算是否必須被劃分在稽核範圍內
2) 在稽核範圍中,哪些是屬於企業內部,哪些是屬於雲端服務業者需符合的規範
3) 雲端服務業者是否有能力提供稽核的證據
4) 企業主本身是否有能力能讓稽核人員和雲端服務業者之間的隔閡縮小,達成符合稽核的要求

有了上面的基本概念,雲端稽核的實施其實在企業主要使用雲端服務前就必須開始評估。在使用服務前,就建議先將雲端服務業者所提供的合約做檢討,並檢視當中的條文是否可符合稽核所需。有必要的話,也可請法務或內部稽核單位進行確認。

在檢討雲端服務業者的合約時,若可以的話,建議一定要加入「可稽核權力」(Right to Audit)的條文。主要也是因為當客戶需要進行任何稽核時,雲端服務業者也必須能夠提供相關資料讓客戶能達成稽核要求。當然在初期這個權力一定會經常實施,但到後期也能因為雲端服務的可信度增加而降低需要實施這權力的次數。

雲端稽核的未來
目前國外最受矚目的Cloud Security Alliance以開始呼籲ISO/IEC機構針對雲端服務而調整ISO 27001及ISO 27002認證內容,並在其新的規格中包含雲端服務所需符合的部分。其中也包含未來的稽核人員必須是”Cloud aware”,其中也提出了並不是光知道IaaS, Paas或SaaS就是Cloud aware,而是知道和了解雲端服務中不同服務問題在哪?(如虛擬服務的問題)。

而CSA也提出雲端服務業者應該以SAS 70 Type II Report為稽核基礎。先取得稽核人員建議並了解修正方向,或以SAS 70為一個基本的稽核範圍進而有一個遵循的規範。欲使用雲端服務的企業主也可以依照該報告,從當中找出還有哪些規範是該企業內的資安條款需要符合,而還沒在雲端服務業者內達成。

而目前已一般的雲端服務業者,應該以ISO/IEC 27001為一個基本目標去達成,更進一步的,在不久的未來也希望ISO/IEC機構可以回應CSA和業界的需求,成立一套完整的雲端稽核機制。