https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html
https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html

觀點

雲端資安服務成熟度 用證照或稽核方式來評估

2013 / 05 / 21
廖邦彥
雲端資安服務成熟度  用證照或稽核方式來評估

相信大家都還記得雲端服務在一開始熱絡的時候,市場對於這個趨勢有正面與負面的兩極評價。 一轉眼數年過去了,這個話題依然熱絡,且讓我們暫時放開理論,不去討論雲端服務到底有沒有真正達到其所宣稱的目的,無可否認的,雲端服務的成功,已經讓整個資訊環境的結構徹底改變(雖然資訊服務本身還是維持原有的目的及功能),現在的我們已經不需要去討論,雲端服務到底會不會是曇花一現,甚至連哪些區塊的雲端服務會先熱門目前也都已經成形。

本文想跟大家換一個角度來討論,看看資訊安全雲端服務(Security as a service or SECaaS) 的優劣點,日後,當我們考慮要採用這些服務的時候,就可以從這些優劣點來分析怎麼做決策才會最合理。

IT 馬拉松:資訊安全防護與雲端服務的賽跑
資安防護機制除了要跟無所不在的資安風險進行攻防戰,還得跟資訊環境不斷進行賽跑,而且這個賽跑,幾乎永遠都是資訊環境跑在前方,而資訊安全防護跟隨在後。因為企業在沒有建置資訊環境前,何來相對應資訊安全防護的需要?這不僅是費用考量,很合理的一定是企業活動在先,有了要保護的資料,才能考慮相對應的資訊安全防護機制。

所以這種先天上的條件限制,讓資訊安全永遠只能追在資訊環境的變化後面,目標是儘量追緊一點,有時候,在完美情況下可以讓兩個活動重疊,這也就是為什麼資訊安全期望在系統導入前,資訊環境規劃甚至概念期,資訊安全就能一起開始做全盤規劃,這樣才能達到彼此重疊的理想目標。有沒有例外?有,但是幾乎只有政府單位,或者產業的主導才有可能做到防患於未然,因為產業或者政府是著眼於中長期的目標去規劃。

回顧最近在美國政府以及出版、金融等產業受到資安攻擊威脅後,國土安全部(Department of Homeland Security)加強了資訊安全部分的責任,政府各個單位也在架構上針對資訊安全作強化,甚至組織上做出改變。很可惜台灣目前看不到政府來主導,反而感覺比民間或者非營利組織被動,不過,這個話題扯得有點遠了,還是讓我們回歸主題,看看目前雲端安全產品服務的現況。



目前已經有相當多的產品及公司提供雲端資訊安全服務, 大致上可以分成以下幾類:
1. 郵件安全(Email security, 包括Email 防毒、anti-spam等);
2. 資料變造服務(tokenization),簡單來說,就是把敏感資料以標記化(token)方式來處理,達到保護敏感資料與資訊安全的目標;
3. 資安事件管理(SIEM, Security Information Event Management);
4. 身份認證存取控制(IAM, Identity Access Management);
5. 程式碼安全檢測(Code Security Review);
6. 防制資料外洩(DLP, Data Loss Prevention);
7. 應用程式或者一般的防火牆(Application Firewall or regular firewall);
8. 入侵偵測防護(IDS/IDP, Intrusion Detection/Prevention System);
9. 弱點評估(Vulnerability Management)等等。

我們可以很明顯的發現到,只要資訊安全解決方案能夠把範圍往雲端推進的,幾乎每一家廠商都會把它送進這樣的框架,不只為了因應雲端服務不可擋的趨勢,還能增加其他的好處如:擴大潛在市場的範疇,只要網路能達到的地方,幾乎都能成為雲端資安服務廠商的潛在顧客。

目前市場的接受度也不差,歸納原因不外乎以下三種。第一是市場本來就早早開始採用的服務,如郵件安全方案,因為開發市場早,跟原來的環境結合度高,所以占了資安雲端服務的很大一塊比重,另外還有弱點評估也是屬於早期進入市場的一群。第二是從傳統資安產品「轉進」為雲端服務的廠商,也因為有原有的客戶,在兩種模式同時進行的生意模式互相幫助下,也在市場站穩腳步。第三則為因應稽核要求、簡化做法的產品,像是資安事件管理、身份認證存取控制、安全管理服務(Managed Security Service)等,就某些方面而言,採用雲端服務比傳統建置方式還要容易,因此也有成長潛力。

雲端資安服務的5個可能效益
此外,還有很多個人雲端所延伸來的個人資訊安全服務,也是如雨後春筍般的出現。 現在不管是誰演講或者要推銷產品,都會牽扯到雲端服務、巨量資料(big data),好像這樣才是一個前途無限、欣欣向榮的公司,或者才是有趣的題目。

不過,本文不打算把牽扯到個人的資安雲端服務作為本文討論的內容,雖然企業與個人有很多重疊的地方,然而在決策過程中,考量的重點及方式卻相去甚遠。 因此,在這裡只專注在與企業相關的部份,好輔助企業在決策過程中,能夠選擇合適的服務,也希望能或多或少提供大家一個思考的方向,或者起碼是可以拿來討論的幾個評估點。

談到雲端(資安)服務最主要令人卻步的因素,就是這些服務公司的可信度到底有多少。的確,除非你親自去參觀該公司的架構以及規模,不然每一家網頁上面的介紹看起來都很好,資訊中心金碧輝煌,員工穿著光鮮亮麗、專業十足(不信的話, 隨便去找家資訊公司的網站,每家都用到或多或少的標準格式以及照片,好像每家公司都是資金雄厚的大公司),實際上公司好壞各有不同。

企業在評估時,其實可以參考這些公司所提到的認證,比如說 SSAE 16 SOC 1、SOC 2或 SOC 3(取代了以往的 SAS 70),讓人可以了解這家公司的可信度以及成熟度。在進行稽核時,如果被稽核的公司有採用一些雲端服務或者資訊中心委外服務,外部第三方稽核單位也是來檢查這些公司的相關證照以了解其成熟度。

以下簡單列出雲端資安服務的5個優點。

一、彈性
這是雲端(安全)服務最顯而易見的好處,尤其對於資訊環境變化快速的企業,雲端服務的特性是,不需要依賴企業內部的環境以及設備,一旦成功導入了資安雲端服務,企業可以更有彈性的配合變化。以雲端代理伺服器防火牆(cloud proxy firewall)為例,不管使用者位在公司、分公司或是出差在外投宿的旅館,連回網路存取資料皆受到同等的保護,相較於非雲端的方式,一旦環境架構改變時,往往要花費比較大的時間精力來配合改變。

二、成本
有些方案宣稱雲端服務在成本上面有優勢,筆者覺得這是蠻見人見智的;如果從預算支出固定,或者無初期建置成本來看,很多資訊安全方案需要雇用高度專業人員來維護,而雲端服務可以利用其經濟規模來降低成本。而若從服務是支出不是資產的角度來看的話,雲端服務有其成本或者說財務槓桿上的優勢。到底成本會不會節省,還是要看每個情況的不同去計算,不過的確有節省成本的可能性,值得列入考量。

三、簡化
導入資安雲端服務後,企業無須理會版本升級,也不需要維護資安設備的可用性與網路狀況,當然啦!這些不是憑空消失,而是服務廠商在雲端的後面把它都處理掉了,所以企業不必去擔心。

在簡化這一項,除了前述的情況之外,還有一些更大的優點,舉例來說,財務資料的事件記錄(log)依照法規要求,必須保存若干年線上(online),若干年離線(offline) 以供查存,若是傳統的解決方式,必須考量硬體、儲存空間、存取控制、備份、備份的存取控制及還原測試...等等因素,但若採用雲端服務,這些都不需要企業自行去設計。當然,這些東西企業必須與服務商建立清楚的合約,選擇一個有信用的服務商,由其在遠端搞定企業的所有需求,企業就能專注其他更重要的核心活動

四、境外環境 (roaming situation)
在某些情況之下,資訊安全方案如防毒或防火牆,必須考慮在境外環境(roaming situation)時要如何處理。當使用者身處境外環境的時候,比如說出差,位於旅館或者其他非公司內部網路情況,傳統的方案必須配置相關方式來達成境外環境的需求,而雲端資安服務幾乎不需要擔心這方面的問題,對於這種情況之下,雲端服務是有其優點的。

五、不得不的選項
假設你的公司已經採用了一些非資安的雲端服務,而將一些公司內部原有的架構移入了雲端,倘若這些公司有提供配套措施的資安雲端服務,企業剩下的選擇也就只有採用或者不採用。

舉例來說,如果公司已經採用 IaaS 作為開發環境,那配合的網頁應用防火牆(WAF) 也只能選擇IaaS 公司所提供的選項;又舉一例,公司的郵件服務已經交由雲端公司來運作,那伺服器端的防毒(客戶端的還是可以用自己選擇的防毒方案)、防惡意郵件(anti-spam)也一定必須選擇雲端服務公司所提供的配套解決方案。在這種情況之下,企業變成不得不選擇它,但好消息是起碼你還有個選項可用,也算是一項優點了。

結論
其實針對每個不同的案件,雲端資安服務的優劣點評估也多少會所不同。剛剛提到目前市場的趨勢以及資安產品成熟度,可以讓企業參考、評估在要引進類似服務的可能性以及風險,而在降低風險的部分,最重要的還是如何去驗證確保廠商的可信度以及永續經營。

前文提到幾個雲端資安服務的優點,並不是每一個服務都會具備所有的優點,但是在評估服務的時候,這是一個可以參考的列表,企業可以從這些點去考量環境的需求。最後,並不是所有的資訊服務都會百分之百變成雲端服務,然而我們一定會看到越來越多的部分往這個方向走,企業事先做好某些資安功能會變成雲端服務的評估準備,絕對是有備無患。

參考資料
1. http://www.banktech.com/risk-management/cloud-based-security-services-market-to/240152905
2. Top 20 security cloud companies: http://www.clouds360.com/security.php

本文作者任職美國雲端服務廠商資安顧問