https://twcert2024.informationsecurity.com.tw/

觀點

評估雲端安全的五個關鍵問題

2014 / 03 / 09
花俊傑
評估雲端安全的五個關鍵問題

隨著雲端運算的蓬勃發展,各項雲端服務的應用也日漸成熟,對於大多數人所關注的雲端安全問題,業者也有了許多對應的方案。但事實上,雲端服務目前還談不上非常完美,仍有許多的安全風險需要雲端服務供應商持續去改善,同時,也有許多的安全風險,對使用者來說也有責任需要去共同承擔。

以下這五個雲端安全相關的問題,對於考慮導入雲端服務的企業,將是需要審慎評估的必要功課,也值得您坐下來好好地仔細思量。

1. 建置私有雲是否真的會比較安全
許多企業考量到公有雲採用的是多租戶的資源分享方式,擔心自己的資料會因此遭受不當使用或外洩,所以只考慮完全採取私有雲的方式,在企業內部建立起專屬的雲端服務。基本上,所有資料完全由企業自行監督管理,存放在自己的伺服器上,的確比外包的服務讓人值得信任,而且在事件處理回應上面,內部的速度也可能會比外包服務來得快很多。但是,請千萬不要忽略了,即使所有資訊躲在企業的防火牆之後,許多的雲端問題包括像是應用程式安全、作業系統安全、硬體設施管理維護、服務可用性等,也都在考驗既有的IT團隊是否擁有足夠的能力,因應眾多使用者不同的安全需求。

2. 是否具有安全可見度與風險意識
對公有雲服務來說,為了讓企業能夠清楚掌握所使用的服務內容與耗費成本,提供清楚可見的報表服務是必要的一環,但除了透過報表來了解計價費用之外,企業是否也能夠清楚掌握所選用的雲端服務安全風險呢?目前,許多雲端服務供應商也提供了API,讓使用者可以自行設計配置和利用更多的擴充功能,尤其是在存取行為記錄和系統監控方面,企業需要評估是否有能力管控可能面對的資安風險。

3. 敏感性資料是否能夠安全地儲存
在雲端服務中,如何確保敏感性資料的安全,是個讓人頭痛的問題,雖然資料加密可以有效強化資料的機密性,但大多數企業的問題在於需要了解有哪些資料必須加密?應該如何進行加密?在選擇雲端服務供應商時,了解業者採取何種加密方式也是一開始要評估的重要項目,如果使用的是共同的金鑰,並且還將資料和金鑰存放在一起,那麼這種安全機制就顯得過於簡單而且具有潛在風險。另外,即使在虛擬化的環境之中,如果惡意程式已有能力監控虛擬主機,那麼也就同樣有能力可以取得存放其中的金鑰,進而危害到儲存的資料安全。如果可能的話,與其完全採用雲端服務供應商的加密機制,企業採用自行加密的方式並妥善保管金鑰,再將資料存放至公有雲的服務之中,相對而言會是比較好的作法。

4. 應用程式是否可能存在安全漏洞
如果企業要將舊有的應用程式,轉移部署到雲端之中,請不要忘了若是本身含有安全漏洞,到了雲端之後可能會更容易受到利用,而且將面臨更多新式的攻擊。基本上,應用程式的安全檢測本來就是個必要的功課,傳統的作法包括了源碼檢測和技術測試等,但到了公有雲之後,有些滲透測試的作法,因為雲端服務供應商擔心會影響到其他的用戶,所以可能會要求受到一些限制,因此企業也需要尋求業者的協助,了解其服務平台是否定期進行安全檢測,以確保雲端服務的安全。

5. 是否具有強健的身分驗證與授權
身份驗證與授權機制,對大多數的應用服務來說都有提供,像是以帳號和密碼來驗證使用者身分,並依所在群組給予必要的權限。但是對雲端服務而言,企業需要考量的是這些服務到了雲端之後,其安全強度是否仍然足夠,如果不足的話,就需要加入更多的安全控制,像是採取雙因素驗證等。另外,如果身分驗證與授權能夠結合內部現有的目錄服務(AD),依照企業自訂的安全政策來實施控管,那會是最佳的選擇,而對於現在流行的BYOD行動裝置,企業也需要評估是否有適當的安全機制,可以識別各種新加入的裝置,並給予其適當的權限來使用雲端服務。