https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

雲端服務導入三部曲-瞭解、慎選、落實(下)

2017 / 11 / 30
編輯部
雲端服務導入三部曲-瞭解、慎選、落實(下)

接續上一篇《雲端服務導入三部曲-瞭解、慎選、落實(上)》我們接下來將接著討論雲端服務導入的第三部曲-落實。

第三部曲:落實雲端安全
雲端服務通常可以分成公有雲、私有雲與混合雲,選擇私有雲可以擁有較高的安全與控管能力,但相對地,即便沒有公有雲那般的成本低廉,不過也必須面對公有雲有較高的安全性風險。混合雲則同時採用公有雲與私有雲,從安全的角度來看,仍應以公有雲的標準來看待。

在公有雲環境下,所有的硬體與軟體服務全都委外處理,因此慎選服務廠商則是最重要的議題,雖然說企業已經把服務委外,但仍應定期與不定期地對服務供應商進行稽核,以確保對方有落實所有的安全政策,也保障自己的資訊安全。
在私有雲環境下,所有資源或多或少透過虛擬化、自動化或整合運算等技術整合在一起,整個IT服務的邊界可能涵蓋所有伺服器到整個網路,不但管理難度與複雜度相對提高許多,不同服務及安全等級的劃分,也更加棘手,如何掌握動態資源的分佈情形,同時又能維持業務之間的隱密性與獨立性,絕對是進入私有雲環境後最需思考的重大議題。

雲端運算安全性有關的議題可將其分為兩大類,一類是雲端服務提供商,即是提供軟體即服務(SaaS)、平台即服務(PaaS)、或基礎設施即服務(IaaS)的組織,所必須面對的安全議題,另一類則是這雲端服務的使用者所必須面對的各種安全議題,雲端安全並不僅是雲端服務供應商的責任。服務提供商必須確認其雲端基礎設施是安全的,確保客戶的資料與應用程式能夠被妥善地保護;另一方面,用戶也必須確認內部員工遵守資訊安全的各項規範,避免個人帳密被竊取,這樣才能夠確保雲端服務的安全。

為了確保資料的安全,雲端服務提供商必須確保某一客戶的資料必須被適當地與其他客戶的資料隔離,並有相關的系統,可防止資料外洩或被第三方任意存取,其內部必須有適當的職責分權,以確保稽核與監控不會失效。此外,使用者的身分管理與存取權限規範也都要相當明確,當客戶相關的資料被存取時,必須留下存取的記錄檔案,以便後續追查。

雲端服務提供商必須確保系統的可用性,並在正式營運環境中建立適當的應用層級安全防護措施,還需要維護使用者的隱私,並符合政府的法規,雲端服務提供商必須協助他們的客戶可以適當地遵守這些規範。相較於雲端服務供應商的安全規範,在使用者端則看來較為簡單,但卻也是最不易管理的部分,主要是大多數使用者對於資訊科技不熟悉,也對於資訊安全的警覺性較低,這則有賴於資訊安全教育推廣的落實。

使用者的資安概念與規範很多,例如,禁止員工將個人帳號與密碼交付他人運用,並不得使用他人帳號與密碼登入系統,如果員工離職時,資訊單位應立即將密碼帳號刪除,此外,不得利用點對點軟體分享下載資料,或將電腦資料匣開放讓外部人員分享,並必須安裝防毒軟體,且定期更新病毒資料庫,也避免登入來路不明的網站,或是安裝違法的盜版軟體,對於來路不明電子郵件不宜任意開啟,以免啟動駭客惡意執行檔,經由網際網路下載檔案或使用隨身碟(USB Drive)應立即進行病毒掃描,確認安全無虞後才可使用。

制定資訊安全規範其實並不難,最重要的是落實的執行力,畢竟人多有惰性,就算有明定的資訊安全SOP,如果使用者疏於遵守,一切仍是空談,企業內部應當定時地對資訊安全進行宣導,並不定時地抽查相關的流程是否有遵照規定,方能有效地提高資訊安全的重視度,並養成使用者的良好習慣。
結語
採用雲端服務已經是企業降低營運成本,增加營運彈性的大勢所趨,但是若不重視雲端服務的安全,導致企業資料外洩,所造成的損失恐怕難以估計,也可能會影響到企業的商譽,因此了解自己的實際需求,慎選合適的服務廠商,落實安全規範,將會是雲端服務能否成功的重要關鍵。