https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html
https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html

觀點

雲端服務逐漸普及並成為主流

2017 / 11 / 13
吳佳翰、廖柏侖、宋子莉
雲端服務逐漸普及並成為主流

近年來雲端服務的高速成長持續發燒,雲端服務可有效提高資源利用率,降低資訊維運之成本,也衝擊著傳統的資訊管理的思維,密切地受到企業的青睞。然而,就如同對於其他新興科技的採用,雲端服務的使用也為企業帶來不同的挑戰與風險。 

以往企業資料的儲存與管理,都是由組織內部自行完成,但雲端運算環境中,部分或全部的資料將被轉移到企業外部,因此企業在規劃導入雲端服務的同時,應該要考量傳統資安管理的轉型必要,以及雲端服務帶來的潛在風險,才能在享用雲端服務效益的同時,亦確保雲服務之安全性及客戶滿意度。



企業應用雲端服務時可能增加的風險管理議題

雲端資料保護與隱私保護
雲端服務提供商是否可確保企業存放在雲端資料中心之資料(如:機敏文件與隱私資料)的安全性,是否考量資料生命週期的管理,包含:資料存放資料抹除及外洩之議題、多租戶環境隔離與資源管理,以避免未經授權的存取,並確保資料之機密性、可用性及完整性。企業在採用雲端服務的同時,不能形同放棄資料的所有權,甚至因此失去對於自身資料掌控之能力,雲端服務提供商應有責任保護企業擁有的資料,防止合約以外的非法存取活動,確保企業的資料未被預料外的行為所“污染”等,並根據企業的要求採取保存與銷毀資料。

雲端應用服務安全
若企業利用的雲端運算服務是IaaS與PaaS,需考量應用程式及軟體安全是否由企業自行負責開發,並且注意若有委外開發或維護之情形存在時,與委外廠商的契約內應規範相關的開發安控措施,將資安責任之歸屬在合約裡清楚載明。

雲端服務平台與基礎設施的安全
雲端服務商應能確保資訊設備維運之安全,包含透過科技工具透入強化雲端平台操作管理、身分驗證機制、動態資源管理、日誌管理、異常通報及處理、軟體安裝與修補、系統完整性檢視等作業之安全,以兼顧雲端服務的效率與安全性。


雲端服務的持續性
雖然企業可以選擇自行建置備份與備援機制,但雲端服務商仍應考量儲存資料之實體數據中心地點與備援機制,了解委託給雲端服務商所能承諾的資料的保護管理機制,避免發生傳輸延誤或服務中斷等現象,甚至因為災難造成服務中斷而危及企業的營運;除此之外,企業亦應考量雲端資料移轉與可移動性,如。雲端上的資料是否支援匯出/匯入的功能,且能以業界常見的格式進行存取,避免更換雲端服務商或雲端服務之阻礙,應將雲端服務之互通性與可攜性納入雲端風險管理的一部分,以避免未來服務被鎖定而無法移轉。


雲端服務合規風險與治理風險
雲端服務提供商改變了企業邊界,因此在跨國、跨區域的資料管轄、稽核與調查權應如何適用必須被考量,舉例來說企業若因採用雲端服務,資料存放在雲端服務提供商的資料中心時,當地國家法律是否允許政府可檢視企業存放在雲端伺服器中的資料,雲端服務商收到具法律效應之命令,是否應揭露使用者所擁有的資料。其次,雲端服務提供商是否可考量不同產業特性與各國法令要求,如:SOX、個資法、PCI DDS、公會自律規範,各國對於跨境隱私保護或個資傳輸之規範皆有不同,當資料中心建在不同國家時,可能會牽涉到哪些資料保護法律的問題,因此,企業必須確認其資料所留存的資料位置,以遵循各國法令之要求。

雲端服務的監控與調查
雲端服務提供商是否可能在系統發生資安或爭議事件時,對用戶提供足夠的環境存取支援度或配合提供日誌軌跡等資料,以確保事件相關資訊的證據能力及證明力,例如:IaaS / PaaS / SaaS等各類服務模式下的應用系統/伺服器/作業系統/網路層日誌等。企業雖能運用雲端便利的優勢,但也相對地應考量雲端服務的先天限制是否可能影響鑑識調查執行的時效性與完整性,以及萬一事發管道是來自於雲端服務商本身環境時,如何避免球員兼裁判的調查獨立性疑慮;因應雲端環境之數位鑑識取證與調查該如何進行,包含人員能力/程序/資源等,也是企業必須考量的方向。雲端服務提供商因控管了服務背後的基礎設施甚至是應用層面服務,有責任及義務建置與提供完善的稽核軌跡環境,以協助企業用戶可進行事件相關的必要追溯。
下一篇 《歐洲雲服務聯盟星級驗證》報導

作者介紹:
本文作者目前分別任職於:
吳佳翰 - 勤業眾信聯合會計師事務所 執行副總經理、
廖柏侖 - 勤業眾信聯合會計師事務所 經理
宋子莉 - 勤業眾信聯合會計師事務所 經理