企業在計劃導入雲端服務的同時,一定要同時考量到潛在的資安風險,並將這些問題拿出來與業者討論,並且要求改變,如此才能放心享受雲端服務所帶來的效益。
雲端運算已經多年蟬聯年度十大策略性科技,2011年也不例外,若進一步比較公有雲與私有雲的發展,公雲服務雖然有安全疑慮,卻享有成本與效率上的優勢,其市場規模的成長幅度將遠高於私雲建置。美國安全聯盟資深資安專家Tim Mather認為,未來雖然還是會有私雲市場,但它的成長幅度不會像公雲一樣。
Gartner於2011年7月發佈的研究報告也指出,2011年全球IT支出將穩定成長7.1%,其中,公有雲服務是最熱門的話題,也是成長最快速的一個項目。雖然,公有雲服務支出占全球IT產業的比重不高,在2010年僅有2%,到了2015年依舊低於5%,但是它的成長速度卻比整體支出快4倍。
公雲服務藉由資源共享達到降低成本的目標,是吸引企業採用的最大誘因,然而,雲端運算畢竟不是萬靈丹,資安顧問陳彥銘認為,企業在決定使用公雲服務的同時,必須針對以下幾個問題和雲端服務廠商討論,降低因為導入雲端而可能引發的資安風險。
第一、風險管理、治理與法規遵循與企業邊界的改變
雲端運算首先會改變的就是原本企業的邊界定義。如果企業以前從來沒有將資料中心外包過,甚至於沒有跨國的資料傳輸,那麼使用雲端運算之後,可能會在不知不覺之間改變這些情況。對於原本就經營跨國生意的大企業來說,挑戰可能沒有多大,但是對於中小企業來說卻有相當大的改變,值得資安人員注意相關的法律、科技與政策。此外,相關的風險管理與治理,以及有關法規和業界標準的遵循等也都應該在計劃導入雲端運算時一併納入考量,才能夠防範於未然。
歐洲ENISA、美國NIST、TCG(Trusted Computing Group)和雲端安全聯盟CSA等組織(前兩者算官方機構,後兩者是非營利組織),對雲端運算的安全與風險管理等議題,皆有許多研究與討論,並且公開許多資料供企業參考。
第二、營業持續計畫
雲端運算(至少公共雲跟社群雲)提供了方便的異地備份機制。對於中小企業來說,要建構自己的資料中心花費就已經不小,更不用說要做到異地或異國備援,雲端運算服務在此方面提供了破壞性創新,讓這種服務更容易為中小企業取得與應用,然而,企業仍然要準備好相關的政策與程序,並且了解資料中心建在不同國家時,可能會牽涉到哪些資料保護法律的問題。
第三、弱點與修補程式管理
採用雲端運算服務後,弱點與修補程式管裡這個議題變得更重要,企業運用雲端運算的方式,將會對原本的弱點與修補程式管理程序帶來不同衝擊。
舉例來說,企業只是利用雲端CRM這類的軟體即服務模式,那麼需要注意廠商是否具備完善的弱點與修補程式管理程序,以及如何監督其狀況,這些都應該寫入採購合約裡面。而如果採用PaaS與IaaS的雲端運算服務,則應視系統擁有權的分配來討論弱點與修補程式管理的責任歸屬以及相關的SLA。
虛擬技術最令人擔心的在於能夠破壞「隔離」這個功能的弱點,就是隔離虛擬機器與主機以及不同虛擬機器間的功能。所以企業必須確定業者所採用的產品在這方面有完善的防備,即使每台機器都是虛擬,對外來的攻擊者來說還是跟以往一樣,只是變成一個個的IP目標。
第四、應用程式/軟體安全
如果企業利用的雲端運算服務是IaaS與PaaS,則大部分的應用程式及軟體安全依然由企業自行負責,此時就得依照原有的安全開發流程(SDL)執行,以及注意若軟體委外開發,資安責任歸屬必須在合約裡清楚載明。
若是採用SaaS雲端運算服務,應該要求廠商提出SDL執行的證明文件 (目前並沒有SDL標準認證),或是第三方定期執行安全檢查(檢查程式碼與產品資安測試)的結果文件,以及確定出事後的責任歸屬。值得注意的是,現在有一些雲端運算服務業者會宣稱他們提供的環境是遵循PCI標準(通常以IaaS與PaaS提供者居多),但這並不代表使用這個環境的應用程式跟軟體就會自動達到PCI標準的要求,所以此部分還是需要注意。
第五、資料保護
資料保護的重點在於知道要保護的資料是什麼、重要性、存放位置、及使用者存取權限。使用雲端運算服務改變了原本界定的範圍,可能更大也可能更小。舉例來說,將所有電子商務的部分都轉移到雲端裡面,可能因此縮小了需要符合PCI 規定的範圍。所以企業在導入雲端運算的流程時,應該將現有的資料保護政策與商業需求一併規劃進去,才能瞭解雲端化後可能的好處與壞處。
第六、事件應變
事件應變應該是最棘手的一部分。試想導入雲端運算服務,除非雲就在企業原本所擁有的資料中心裡面,不然每當資安事件發生而需要處理應變的時候,就必須要雲端運算服務提供者的人力配合搜查。因此,企業必須修改相關的事件應變計畫,並將事件應變計畫的要求加入採購合約裡面,確保服務提供廠商能夠確實配合。
除了流程與組織上的改變以外,試想若非私有雲的客戶,當資安事件發生而要採證分析時,面對的大多是虛擬機器,此時該如何採證?把整個儲存虛擬機器的硬碟拔下來作分析還是只拿虛擬機器裡面的檔案?雲端運算服務透過資源共享來達到壓低價格的目標,因此一個儲存設備上有多台虛擬機器甚至多個客戶也沒什麼稀奇,但若其中某一個客戶出了事情的話就很麻煩,該如何界定處理的範圍? 這是客戶與廠商之間要妥善處理的問題。
雲端運算服務的創新觀念,勢必會對現有的資安造成挑戰,企業在計劃導入雲端服務的同時,一定要同時考量到潛在的資安風險,並將這些影響與問題拿出來與業者討論,並且要求改變,兩者才能互相學習求進步,企業也才能放心享受雲端服務所帶來的效益。