雲端運算 (Cloud Computing) 近幾年來成為最熱門的名詞以及 IT 界的新寵兒。本文將探討雲端運算的定義、現狀與潛在的資安問題對於雲端運算發展所帶來的影響。
雲端運算是一群技術與服務綜合的名詞而非泛指任何單一技術。但是現在若提到雲端運算一詞,通常泛指軟體即服務 (Software-as-a-Service)、平台即服務 (Platform-as-a-Service)、以及網路建設即服務 (Infrastructure-as-a-Service) 等三種服務項目。因此雲端運算可以簡單地定義成:將電腦運算與相關資源,包括軟體、平台與網路基礎建設,以服務模式與彈性架構提供給客戶。
雲端運算衍生自以下幾個不同的概念:
1. 網格運算(Grid Computing):這方面的觀念對雲端運算的主要影響,是運算資源的集中以及彈性化。運算資源集中在分散的大型資料中心並且依賴高速網路連結以提供強大的運算服務。而彈性化則是讓客戶可以像水電服務一樣,依照自己的需求以及實際使用的情況來使用運算資源與付費。
2. 虛擬技術 (Virtualization):將實體電腦虛擬化的技術促成了今日雲端運算的實現。以傳統的方式來說,需要多的運算資源就必須採購更多的硬體與軟體。在透過虛擬技術的方式後,硬體與軟體的對應不再是一對一,而是一對多。增加新運算資源不再需要繁雜的訂購程序與漫長等待,最快可以就是複製虛擬機器的檔案而已!
3. 服務導向架構 (Service-Oriented Architecture):萬事皆服務 (Everything-as-a-Service) 的概念,一步步將企業 IT 相關的各種資源服務化,從以往的資料中心、網路服務供應商,進化到應用程式服務提供者 (ASP) 至今日綜合虛擬技術以及網格運算的觀念。
ISP業者縱向整合VS. VPN虛擬私雲
綜合以上三種觀念即創造出今日的雲端運算概念。而雲端運算服務通常有以下的幾個特徵:
(1)多用戶:要支撐雲端運算所需的建設也要有相對應的經濟規模。因此多用戶會是許多雲端服務提供者的重要特徵之一。
(2)彈性與靈活:使用者依照需求能夠享受到彈性的價格運算與付費方式,同時也能夠靈活運用(增加或減少)運算資源以配合實際使用狀況。
(3)存取平台廣泛:不管使用者是用一般的電腦或是手機等都可以透過網路來存取雲端運算所提供的服務。
而現今常見對雲端運算的分類定義,符合美國 NIST 政府機構對於雲端運算的定義 。除了上面所提到的內容外,還定義了雲端運算的配置模型,並分成以下四種:。
1. Private Cloud (私有雲):只為一個機構所擁有及使用。雲的位置可以在或是不在機構所擁有的位置,雲的管理也可以是外包的。
2. Community Cloud (社群雲):由俱備共同特性的組織機構共享的雲端運算服務,例如政府雲 (GovCloud)提供服務給政府機構,或是針對特殊需求的組織類如醫院所建立的醫院雲。
3. Public Cloud (公共雲):顧名思義,這類雲端運算服務的提供者不會對客戶設限,而所提供的服務都是建構在服務提供者的資料中心之上。
4. Hybrid Cloud (混合雲):綜合了以上三種架構中最少兩種之特性的雲端運算服務。
在這些定義裡面其實都還是概括性而不見得非常詳細的定義。但是重點都是在於資源的隔離與位置。例如 Amazon 有 Virtual Private Cloud 的服務。此模式就是將其雲端服務利用 VPN 與原本的企業網路連接,這樣就成了企業網路的一部分,而可以接受原本企業資安措施的保護,但是又享有雲端運算的彈性等特點。
此外,一些各國的網路ISP業者與 IT 服務供應商踏入雲端運算之後,他們的一大優勢就是可以從客戶的網路線開始包到資料中心 (IaaS), 平台 (PaaS) 以及相關的軟體服務 (SaaS)。這種縱向的整合更是把私有雲的定義推得更廣,類似 Amazon、Google 或是微軟的雲端運算服務目前也是無法比擬。但是企業是否需要這樣子的私有雲才算安全,還是 VPN 即可接受,這也端看企業接受的程度。
6個雲端運算現狀與資安問題
現今雲端運算之熱門使得從硬體商到網路服務商、軟體商與顧問服務廠商都要搶這個商機。事實上若從雲端服務的概念來看,單一的觀念例如虛擬化技術或是將運算資源當成水電般計價,算是破壞性的創新,但是綜合從硬體到搭配的網路以及軟體和服務是整合以往資料中心外包等概念的衍伸性創新。
只是雲端運算真的是萬靈丹嗎? 以下就常見的資安問題來看看雲端運算可以或不可以解決這些資安相關問題:
第一、風險管理、治理與法規遵循與企業邊界的改變
雲端運算首先會改變的可能就是原本企業的邊界定義。如果你的機構以前從來沒有將資料中心外包過,甚至於沒有跨國的資料傳輸,那麼使用雲端運算可能會在不知不覺之間更改這些情況。對於原本就經營跨國生意的大企業來說,挑戰可能並沒有多大。但是對於中小企業來說,可能有相當大的改變而值得資安人員注意相關的法律、科技與政策。而相關的風險管理與治理以及有關法規和業界標準的遵循等也都應該在計劃導入雲端運算時一併納入考量,才能夠防範於未然。
歐洲的 ENISA 與美國的 NIST 與TCG (Trusted Computing Group) 和CSA (雲端安全聯盟) 都對雲端運算的安全與風險管理等已有了許多研究與討論(前兩者算官方機構,後兩者是非營利組織),並且公開許多資料供企業參考。
第二、營業持續計畫
雲端運算 (至少公共雲跟社群雲) 提供了自然的異地備份與存活的機制。對於中小企業來說,要建構自己的資料中心花費就已經不小,更不用談還進行異地或異國備援。雲端運算服務在此方面提供了破壞性創新,讓這種服務更容易為中小企業取得與應用。但是相關的政策與程序還是需要準備著,並且應該了解到當資料中心建在不同國家時,是否會牽涉到相關的資料保護法律問題。
第三、弱點與修補程式管理
雲端運算並沒有把弱點與修補程式管裡這個資安重要議題帶離資安長的煩惱。此時端看企業運用雲端運算的方式,也會帶給原本的弱點與修補程式管理程序不同衝擊。例如企業只是利用雲端 CRM 這類的軟體即服務模式,那麼需要注意廠商是否有完善的弱點與修補程式管理程序,以及如何監督其狀況。這些都也都應該寫入採購的合約裡面。而如果是採用 PaaS 與 IaaS 的雲端運算服務,應該視系統擁有權的分配來討論弱點與修補程式管理的責任歸屬以及相關的 SLA。虛擬技術最令人擔心的在於能夠破壞「隔離」這個功能的弱點,就是隔離虛擬機器與主機以及不同虛擬機器間的功能。所以企業必須要確定業者所採用的產品在這方面有完善的防備。而即使每台機器都是虛擬,對外來的攻擊者來說還是跟以往一樣,只是一個個的 IP 目標。
第四、應用程式/軟體安全
如果企業利用的雲端運算服務是 IaaS 與 PaaS,則大部分的應用程式及軟體安全依然是需要由企業自行負責,此時就依照原有的安全開發流程 (SDL) 執行,以及注意若軟體外包時的資安責任歸屬等都要放在合約裡。若是 SaaS,應該要求廠商提出 SDL 執行的證明文件 (目前並沒有SDL標準認證),或是第三方定期執行安全檢查 (程式碼檢查以及產品資安測試) 的結果文件,以及確定出事後的責任歸屬。值得注意的是,現在有一些雲端運算服務業者會宣稱他們提供的環境是遵循PCI 標準 (通常以 IaaS 與 PaaS 提供者居多),但是這並不代表使用這個環境的應用程式跟軟體就會自動達到 PCI 標準的要求。所以此部分還是需要注意。
第五、資料保護
資料保護的重點在於知道要保護的資料是什麼、重要性、資料位置還有使用者的存取權限。使用雲端運算服務改變了原本界定的範圍,可能更大也有可能更小。例如說將所有電子商務的部分都轉移到雲端裡面,可能因此縮小了需要符合 PCI 規定的範圍。所以企業應該將現有的資料保護政策與商業需求規劃在導入雲端運算的流程中,以預知可能的好處與壞處。至於資料所儲存的位置與相關資料保護法則值得另外的專文解說。
第六、事件應變
事件應變應該是最棘手的一部分。試想導入雲端運算服務,除非雲就在企業原本所擁有的資料中心裡面,不然每當資安事件發生而需要處理應變的時候,就必須要雲端運算服務提供者的人力配合搜查。因此也要修改相關的事件應變計畫,還有要將事件應變計畫的要求也加入採購的合約裡面已確保服務提供廠商能夠確實配合。
除了流程與組織上的改變以外,試想若非私有雲的客戶,當資安事件發生而要採證分析時,面對的大多是虛擬機器,是應該把整個儲存虛擬機器的硬碟拔下來作分析還是只拿虛擬機器的檔案? 雲端運算服務靠的是資源共享來達到壓低價格的目標,因此一個儲存設備上有多台虛擬機器甚至多個客戶也沒什麼稀奇,但是出了事情的時候就麻煩了,該如何界定處理的範圍? 這是客戶與廠商之間要妥善處理的問題。
結論
雲端運算服務帶來的好處定是多於壞處。但是因為其創新的觀念,也會對現有的資安帶來挑戰。在計劃導入雲端運算之初,除了相關的商業利益影響以外,也應該事先考慮到可能的資安風險以及其改變。在規劃相關資安措施時記得信任與平衡兩大原則。信任就是確定人、程式、機器與網路在存取所需要的運算資源時要有應有的信任關係存在,而平衡則是在兼顧資訊安全與商業利益和使用者便利性三者間考量。
企業要將雲端運算服務對於資安的影響與問題拿出來與業者討論,並且要求改變,兩者才能互相學習求進步。帶著資安指南針,就不用擔心「雲」深不知處!