https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

雲端服務供應商推資安 公開接受審視

2012 / 05 / 02
吳依恂
雲端服務供應商推資安 公開接受審視
雲端運算技術發展到現在,不可否認的,混合雲將會是一種必然(且階段性)的架構。台灣微軟伺服器平台事業部資深協理周旺暾以過去的經驗來看,中小企業即使想要全然將資料搬上雲端,卻會面臨到由於自身的網路基礎建設不足夠,使得全然的公雲環境無法使用得太順利,例如儘管個人在家都已經使用到光纖網路層級,但中小企業的基礎網路速度卻不一定有如此高速的規格。而中大型企業的內部應用系統,若在相容性或銜接上未能克服,便也會採取階段性的將系統搬上雲端,因此混合雲的架構模式對企業來說,可能會是一個很長的過渡期。


初時,微軟內部僅有內部稽核,然而隨著雲端服務的興起,亦有來自全球客戶對雲端服務對資安方面的需求,因此微軟也開始取得外部驗證,例如微軟初期取得ISO 27001驗證時,亦僅從機房設施的硬體做起,之後也逐漸擴充到雲端服務的部分,包括軟體如何取得、運用資料,均在其程序規範下,擴大其驗證範疇。周旺暾說,除了ISO 27001以外,微軟亦取得歐盟示範條款,並且陸陸續續取得其他相關驗證,如HIPAA,接受公開的審視。


又例如雲端資安聯盟(CSA)針對雲端資訊安全和隱私權保護,提出的建議標準-雲端控管矩陣(CCM, Cloud Control Matrix),CCM評估標準內容不僅涵蓋資安範疇,亦包括法規遵循、資料治理、風險管理等,也根據不同的雲端服務(IaaS、PaaS、SaaS)訂出評估項目。包括從程式安全開發的生命週期、資料的隔離、客戶的隱私等等。這些評估項目主要是提供雲端服務供應商建議,希望供應商可以採取公開、完整的作法。儘管CCM並非標準驗證,因此無法衡量其完成度或深度,但周旺暾說,當中的公開具體做法,可供使用者審視,微軟在此方面的資安標準是否符合於企業需求,目前微軟的Windows Azure和Office 365已公開其具體作法


然而,在法規遵循的需求下(例如即將上路的個資法),若雲端供應服務商(例如公雲服務)可以盡力達到企業資安需求或國際法規標準,那麼企業內部的私雲又是否可以符合或高於這樣的資安規格呢?尤其是當不幸出事的時候,企業更勢必要釐清自己的責任範疇,將資安水準提升。周旺暾說,在這方面,微軟也相當願意分享其雲端資安經驗。