雲端運算是目前最熱門的資訊科技應用。不論是企業自建的私有雲,亦或是公有雲端服務供應商所提供的IaaS、PaaS、SaaS等服務,都允許用戶透過各種網路連結來存取方便彈性、隨需可用的服務與運算資源。在成本、便利性及公司策略的考量下,許多企業組織更是積極的在評估或已經採用雲端供應商所提供的各項服務。然而,雲端運算有其風險存在。國際數據公司IDC及全球專業服務機構KPMG的調查明確的指出,當企業選擇將資訊服務及架構轉移到雲端時,雲端安全性和治理的有效性仍是企業主及資訊長的主要疑慮。
面對各式各樣的雲端服務,身為想要採用雲端服務的企業及用戶,要如何選擇一個可靠安全的雲端服務供應商? 好的雲端服務平台應該包含哪些面向才能確保其服務運作、資安管理和資料保護能力可符合用戶需求並能讓用戶可以安心地採用其雲端服務呢?許多企業組織在考量將其資訊服務及架構轉移到雲端時,常會以資訊部門為主去做相關的評估,通常資訊部門會先考量雲端服務供應商的技術能力及轉移的複雜度。然而,這只是轉移到雲端服務須考量的部分面向而已。要達到一個完整的轉移評估,企業組織應廣納更多部門如風管、法遵、資安、作業及業務等部門共同參與並擴大考量面向包含如外部法律法規要求、企業治理、內稽內控要求、資料保護政策及各類營運需求等。以下就針對雲端安全及治理上服務供應商及用戶應考量的重點並分別從治理面及營運作業面做討論。
雲端安全及治理: 雲端服務供應商及用戶應考量的面向
雲端治理面
* 管理架構與風險評鑑: 雲端服務供應商應發展良好的雲端與資訊安全管理程序並應以正式的風險管理框架為基礎去建構相關的流程和技術控制來維持有效的雲端管理。此架構亦應包含其第三方供應商管理。對用戶而言,應考慮及評量雲端服務供應商的管理架構和自身企業的治理框架、資安及風險管理架構的適切性及符合度。
* 法遵與稽核要求: 雲端服務供應商必須理解並能主動告知用戶特定雲端服務使用在不同區域及國家時相對監管法規的適用性及為因應法規要求,雲端供應商配合提供法規遵循資料之能力。另外雲端供應商和用戶必須合作去區分其在法規遵循責任上的個別責任。在稽核層面,用戶必須確認雲端供應商是否允許用戶針對其使用的雲端服務進行獨立稽核以確保其合規及安全性。依筆者經驗,許多雲端供應商並不會接受用戶的直接稽核。在此情形下,若雲端供應商能提供獨立第三方驗證稽核報告則對用戶而言多了一層保障。
* 資料生命週期管理: 雲端運算的動態環境、多租戶及虛擬架構的特性都需要搭配全面的資料安全保護策略。對雲端供應商而言,其需要針對完整資料安全生命周期-從資料的產生,儲存,使用,分享,備份及銷毀去發展並實作相對應的流程及技術控制以保護用戶資料。對用戶而言,除了雲端供應商提供的資料保護機制外,筆者強烈建議若是情況許可,應對組織傳送至雲端平台的機敏及客戶資料自行加密並管理相關金鑰做為進階安全保障。
* 可移植性與互通性: 採用雲端服務的用戶有可能面臨服務供應商倒閉或因各種因素(如服務品質不佳)而在未來更換雲端供應商的情況。因此雲端服務可移植性和互通性必須被視為採用雲端服務之風險因素而加以考慮。雲端供應商應盡量採用業界標準架構並可提供用戶在轉換時必要的協助,讓用戶的不便減至最低。
雲端營運作業面
* 高可用性、災難復原及營運持續: 對用戶而言,雲端供應商的服務架構所提供的高可用性及異地備援能力應列入用戶評量的重點。雲端供應商應能清楚提供用戶其高可用性及異地備援機制的規劃,並能確實證明其機制運作的有效性。對用戶而言,若有將其核心應用轉移至雲端,筆者建議用戶仍須佈署自己的核心營運持續計畫,以便將最糟情況(雲端供應商的高可用性及異地備援機制失效時)造成的影響降至最低。
* 雲端資料中心設計及營運:雲端供應商在資料中心設計應將所有元件以彈性及模組化的原則做規劃及佈署,以利日後可隨時應需求動態擴展並能輕易加入新的資源。用戶則須確認雲端供應商資料中心的技術和基礎設施能滿足用戶SLA和提供安全保障的能力。
* 事故及問題管理: 在雲端環境中,任何設施及架構缺陷、系統及資安流程錯誤以及相關操作管理人員疏失,都會對用戶作業及營運造不便或導致重大威脅。因此,用戶和雲端供應商之間應就雙方的事故及問題管理達成共識。包括事故聯絡窗口、相關事故及問題識別、等級定義及通報回應和處理機制等都應事先協調並清楚定義在合約中。
* 雲端應用程式安全: 雲端運算架構的多用戶及資源共享特性使得各種佈署在雲端的應用服務如WEB應用程式或各類服務導向架構(SOA)應用其原本的脆弱性會被放大。雲端供應商應定義並實作嚴謹的軟體開發生命週期架構,包含從應用程式結構分析、設計、開發、測試、品質管理、文件化、佈署管理、變更管理、維護和移除等各個層面。用戶更應要求雲端供應商對其應用程式和系統架構定期執行嚴格的弱點掃描及滲透測試以確保安全品質。
* 身分識別與存取控制: 雲端供應商應考量如何在安全前提下能整合用戶現有的身分識別與存取控制機制。另一種比較好的方法是盡量採用開放標準而非自訂規格,以避免管理及日後用戶轉移的複雜性。目前業界已經有提出各種開放標準如OAuth、SAML、SPML等。目前也有專門的身分驗證提供者(ISP :Identity Service Provider)作為仲介可讓雲端供應商及用戶透過聯盟方式建立彼此間驗證、授權與存取機制的整合。
* 虛擬化安全:許多雲端服務是植基於虛擬化架構之上,包括基本的伺服器、網路及儲存虛擬化等。而虛擬化架構的使用更引入了如HYPERVISOR虛擬層和其他相關虛擬化之操作、管理元件等而導致新的安全弱點與威脅。雲端供應商應發展出針對特定虛擬元件及架構的管理流程並嚴格控管以防範任何針對虛擬架構的攻擊。
(本文作者現任職於KPMG安侯建業)
閱讀: 雲端安全治理及雲端驗證稽核標準探討(下篇)