DForum0606
活動+

雲端時代政府資料面臨新挑戰

  • 吳冠儀

雲端時代,政府部門對於其所維護的資料要如何走入雲端,面臨了前所未有的新挑戰;一方面要具備各式應用程式的雲端存取,另一方面又要做好資料安全的管控,特別是必須符合法規遵循的要求。為此,Blue Coat美國聯邦系統工程總監David Rubal特別提供了建議概要,以協助政府部門解決相關的法規遵循障礙。

  

David Rubal表示,許多政府部門都被委以保管機密資料,而且必須處理與判讀這些資料以服務百姓。無論這些資料是否牽涉到人民或政府人員的「個人身分資訊」(Personally Identifiable Information, PII),或是受某些法規要求的機密資訊,只要是受監督管理的資料,都必須遵守嚴格的政策規範,以確保資訊受到足夠的安全保護。

另一方面,政府機構在樽節成本、系統整併及雲端服務控管的要求下,越來越多資料面臨走進雲端的壓力。例如美國聯邦政府以「聯邦雲端運算策略」(Federal Cloud Computing Strategy)規定聯邦政府之間必須採用雲端項目,但是每當有處理這些資料的程序時,卻又只有少數公司具備足夠的安全技術認證可以提供FedRAMP認證的解決方案。結果是,許多政府機關發現,他們無法使用一些真正吸引他們的領導級SaaS應用,也就無法確認這些應用能夠為自己機關所管轄的資料提供符合現行資料安全的法規要求。如果把資料交給提供公有雲服務的第三方業者,如何處理與儲存資料都是一個非常艱鉅的挑戰,往往又會衍生出其他新的法規遵循與風險管理問題。

對於考慮選擇雲端存取安全閘道解決方案的政府機構來說,以下是「必備」的評估標準:完整的雲端資料控制:任何資料都不得在機關單位網路之外以「明碼」方式分享,資料的加密必須基於使用者定義的「符記化」(tokenization)或加密選項達到「欄位級」(field-level)的控管等級,讓相關的政府部門能夠確保對資料安全的符號庫(token vault)及加密金鑰有完整的管控能力。使用FIPS 140-2加密並保有雲端功能:為了保有雲端應用的功能,FIPS 140-2合規性模組以及相關的認證演算法在加密機密資料及保有關鍵雲端功能都是必要的。經審核的第三方符記化解決方案:符記化技術對於資料的常駐(residency)及資料的管轄要求特別有用,但必須透過相關業界標準稽核與認證。控管行動裝置存取的雲端資料:機密資料還在部署的機構內時就要欄截下來,並以隨機的符記或加密值(encrypted value)來取代,將其轉譯(render)為無意義的形式呈現,讓外部個人或機構能夠在存取資料的同時,也能同步儲存在雲端或行動裝置做程序處理。