企業擁抱雲端　資安從資料管理做起 CSA資深資訊安全專家　Tim Mather

CSA資深資訊安全專家Tim Mather表示，雲端運算是商業模式的改變而非科技的改變。資策會網多所

前言：
雲端運算(Cloud Computing)議題持續在全球發燒，雖然引爆商機無限，但另一方面，因為雲端運算改變了商業營運模式，資源分享的概念亦打破既有企業自行管理資料的方式，當企業的資料開始往雲端上送，信任的邊界究竟被搬到哪裡？資訊安全的疑慮油然而生。

企業如何在擁抱雲端運算的同時，將資訊安全可能帶來的衝擊降至最低。日前應邀來台參加2010國際資訊安全技術高峰會的CSA資訊安全專家Tim Mather，以其多年在資訊安全領域累積的經驗，為企業提出最中肯的因應之道。

主文：
我們必須有的認知是雲端運算發展是漸進式的，而非革命；因為擴大經濟規模的資源分享，得以降低使用成本；還有雲端運算是商業模式的改變而非科技的改變，因此當雲端運算發展同時引發企業對資訊安全的疑慮時，企業應該先思考導入雲端應用之後，想要在雲端上放些什麼資料？目的為何？再來評估雲端服務供應商可以提供哪些服務？

上傳雲端的資料應是非機密

首先就資料面向來談，大多數企業對於資料管理並沒有加以分類管理，這種情況在企業導入公有雲服務時，就容易產生問題。因為企業放置到雲端的資料應是不具敏感性、非機密的資料，而非因為導入雲端服務就一股腦的將企業所有資料往雲端上送，以致引發資安疑慮。

如此，問題就來了，那些資料是非機密、不具敏感性呢？建議企業要先就企業內部資料進行分類，建立資料管理與轉移機制。至於如何分類呢？可從法規面來著手，遵循法規規範，逐一將資料分門別類。

除了將資料分類，企業還要進一步制定資料管理策略，釐清那些資料可以上雲端；而企業使用雲端服務的結果，端視企業如何依預期目標去重整資料的管理。

雲端運算是因為擴大規模，以資源共享的方式協助服務使用者達到降低成本的目的，所以，企業在使用雲端服務前要有概念，企業資料會跟許多其他企業的資料擺放在一起，資料移除後的殘存問題是否確實解決，因為雲端便於移動性的應用，稽核對企業將是另一重大挑戰。

所以企業在評估導入雲端服務前，一定要先想清楚為何要使用，絕對不可以是為了跟流行，而是要詳實地就現有運作及使用雲端服務的結果進行比較，才可獲得較準確的答案。

當企業對自家導入雲端服務目的非常清楚後，方可就使用雲端欲達到的效益選擇合適的雲端服務供應商，最基本的就是必須與服務供應商簽訂服務水準協議(SLA)。

除了符合企業內部需求外，同時要考慮到雲端服務供應商資料中心的設置地點問題。因為不同國家、地區對於資料管轄權的法令制定不一，企業是否可接受不同地域的法規，是導入前要先考慮的議題。

現有資安技術無法直接延用至雲端

企業在使用雲端運算服務前，還有一個觀念需要釐清，即現階段資訊安全技術在擴及至雲端時仍有限制，不是直接轉移就可達到防制的效果；因為企業內部資訊環境與雲端環境不同，適用於企業環境的技術未必適合雲端使用。

舉例來說，隨著資訊安全的重視，藉由金鑰管理來保護企業機密資料的需求愈來愈大；此外，資料外洩防護(DLP)、殘餘資料處理、身份認證管理(FIM)及安全事件管理(SIEM)等資訊安全技術也愈來愈受到重視。但這些因應目前企業資訊環境發展的資安技術，是否也適合雲端運算環境，其實值得討論。

如先前所提，雲端運算打破了以往企業資訊環境疆界的限制，且這個疆域究竟被推移到那裡，沒有人知道；但是，雲端強調的可延展、可互通特性，讓資訊安全的疑慮加大。

以金鑰加密管理來說，在企業資訊環境架構下，金鑰管理是伺服器對伺服器驗證；但上雲端之後，金鑰管理就變成了雲對多個端點的分散式管理，且這個端可能是成千上萬，甚至上億個，該由誰來管，雲端運算服務供應商有信心管理嗎？

雲端運算時代分散式的金鑰管理需求，現階段雖存有安全疑慮，但相對蘊藏商機無限，值得業者投入發展。

同樣的，資料外洩也是企業面臨的重大資安威脅。在網路架構下的DLP，如果是採取end-to-end的資料加密傳送，基本上當資料正在由組織向外傳送時，DLP閘道器是盲目的。但如果採用的是連線加密方式，在雲端運算時代，企業還是無法感受到連線加密的好處，因為目前市場上還沒有雲端服務供應商提供network-based DLP。這也是為何目前企業對於所有資料的管理還是要透過單一加密管道來進行的原因。

防止資料外洩問題在進入雲端運算時代後，若是採用IaaS服務模式且為確保資料安全，那麼首先就必須假設端點的溝通是在組織DLP管理平台上，且組織具有主導伺服器的權利。

但這種endpoint DLP設備究竟該放在組織內部，還是雲端上呢？又會引發另一個資料安全管理的爭論。如果透過具公信力的第3方團體來負責，相信會較容易取得企業的信任。

再談到身份認證管理問題，承諾是peer-to-peer的身份認證管理信認基礎。但傳統的FIM其實是存在著主人與奴隸的關係，基本上組織對身份認證管理通常是先採取不信任策略，而非peer-to-peer的關係。如何讓資料從不同的伺服器下載，並進一步整合，再上傳至另一台伺服器，確保其過程安全，將是未來FIM要努力的方向。

對於安全事件管理(SIEM)，以傳統的SIEM v1.0來說，系統多方聚集資料但限制其來源，結果卻衍生聚集資料關聯性的不確定；相反的，如果系統不是從多方收集資料，又會產生資料來源的著作權等相關問題。

進入雲端時代的SIEM v2.0需要藉由雲端的規模來聚集多方資料，但不是聚集為數眾多的使用者，兩者間仍有差異。

雲端時代　無限資安商機待開發

雲端運算發展對企業應用是件好事，但還是要回到一開始所提到的，企業可以上傳至雲端的資料，基本上是不具敏感性、機密且非控管的資料，一來可用於分享，二來沒有安全的疑慮。

因此，企業在使用雲端運算服務的第1步，就是要對於擁有資料及商業處境有充分的了解；有了充分的了解後，才有辦法向提供雲端服務的供應商要求，達到企業資料保密的需求。

我也要再重申一次，許多現存的資訊安全相關技術，其實是無法直接移植到雲端上應用的。當然如果僅是提供個人使用，問題不大，但如果是因應企業需求，則需要更進一步發展；因此，這也是雲端運算在發展過程中，具有相當商業機會的大餅。

Tim Mather　CSA資深資訊安全專家
經歷：雲端安全聯盟(Cloud Security Alliance；CSA)創辦人之一，先後任職於Apple、Symantec、英國KPMG等知名企業