雲端安全九大威脅與個資機房盤點

個資機房驗證架構圖。

2013的資安議題，仍離不開雲端與個資，雲端安全聯盟(Cloud Security Alliance)台灣分會教育訓練組邱志傑召集人根據2013年2月CSA調查顯示，近年來全球威脅仍主要以網路詐騙為主，並且網路攻擊行為已慢慢的由技術宣示改為商業行為，因此機密資料的外洩、遺失與帳戶詐騙已為雲端安全的最大威脅，其中第一名的資料外洩由2010年的第五名直升今年的雲端威脅第一名。

要有效遏止資料外洩可採用加密、多因素身分驗證、安全政策與風險評估等方式，降低雲端資料外洩的風險。以下為CSA台灣分會所發布的2013年雲端九大威脅：1.資料外洩；2.資料遺失；3.詐騙帳戶、服務或流量；4.不安全的接口和API；5.拒絕服務；6.內部惡意人員；7.雲端服務的濫用；8.審慎評鑑不足；9.共享技術漏洞。
 
CSA所發布的雲端運算重要領域安全指南(Security Guidance for Critical Areas of Focus in Cloud Computing)，主要是希望能夠協助有意發展雲端服務的企業與組織，可以全方位的思考與評估所應該考量的要素，以及需要留意的事項。

目前安全指引與先前版本最大的差別，除了調整原本幾個領域(Domain)，同樣亦分成了雲端架構(Cloud Architecture)、雲端治理(Governing in the Cloud)、雲端營運(Operating in the Cloud)三個主要部分，其中又細分成14個領域進行評估，包括了雲端運算架構框架、治理與企業風險管理、法律議題—合約與電子證據發現、法規遵循與稽核管理、資訊管理與資料安全、相互運作與可移植性、傳統安全、營運持續和災難復原、資料中心營運、事故回應、應用程式安全、加密與金鑰管理、識別、權限與存取管理、虛擬化以及安全即服務，其中調整了2個領域的名稱，並且新增加了Security as a Service這個領域，以符合目前與未來近期發展雲端安全上的需求。

這14個領域的範圍已經含括目前雲端服務的多個面向，不論服務供應商提供的何種服務或服務的模式，幾乎都可以在這些不同的領域中，找到其發展的方法以及對於服務安全或是資料安全的處理原則。

由於雲端的盛行，使用者服務都集中在雲端基礎架構上，前陣子的電信業者機房失火，導至全台百萬用戶網路與電信中斷，相信很多人無法收信、查詢行事曆、瀏覽網路地圖等，短時間中斷相信使用者都還情有可原，但若雲端服務中斷超過2天，相信會有不少民怨甚至抗爭狀況發生。

在這樣的風險下，雲端機房上的個資盤點更為重要，包含員工資料、客戶資料、廠商資料等等，這些資料散落在企業裡的主要機房的伺服器裡面，尤其是經常服務性的主機資料，另外還有備份主機、檔案伺服器、資料庫主機、備援主機、測試主機等，這些主機都有可能會有極大機率含有高筆數的個資資料，所以「發現個資風險」與「個資問題處理」等兩大工作也是非常重要的機房議題。

中華民國資料保護協會理事長表示，機房內的所有伺服器，應儘快採用個資盤點、資料庫個資盤點與網站個資盤點等工具做初步掃描，爾後可透過專業的顧問團隊針對個資弱點進行評估，最後可透過專業的查核單位進行個資機房的專業稽核。