面對雲端環境的訊息風險 企業該如何因應?
- 賴姿侑
-
隨著Google在2009年初宣布於台灣啟動「雲端運算」學術計畫,「雲端運算」這科技名詞立時席捲各大媒體版面,台灣對雲端解決方案的認識已經逐漸成熟,開始進入雲端相關產業的成長起飛期;相較於相關雲端解決方案的廠商不斷推薦雲端服務的「隨選即用」、「隨著需求、負荷動態成長」、「負載平衡」、「降低成本」等特性時,卻鮮少有人去提出在雲端環境下,需要注意的資訊安全問題。
根據 MIC在2010年7月公布的最新1份企業使用雲端服務意向所做的調查結果顯示,目前在台灣的大型企業中,仍然有44.2%的企業表示對雲端服務供應商不熟悉,特別是台灣本土廠商多不在大型企業較熟悉的雲端運算服務供應商名單中;同時,也有高達38.7%的台灣大型企業認為使用雲端環境的最大疑慮,是資訊安全問題。
因此,企業在思考自己需要什麼樣的雲端服務之前,應先檢視自我的資訊安全政策是否完備,即使因為相關需求而選擇或者轉移自建服務到雲端環境時,更應該思考相關的資料保護措施是否完備,以及廠商是否有提供相關的解決方案,供企業在雲端環境時,仍能追蹤並稽核訊息的動向、內容。
台灣知名軟體廠商於2010年的Openfind Solution Day中提出「Message Assurance」(訊息保全)概念,就是提醒企業在進入雲端環境前,一定要注意自身的訊息解決方案是否從資料的傳遞、保存階段,完整考慮到相關的隱私法規(如台灣的個人資料保護法)與風險預防政策,包括訊息是否均能被追蹤、前稽核(資料外洩)、後稽核(事後舉證),並能安全的負荷巨量訊息的成長。
對企業來說,將自身維運已久的訊息解決方案推上雲端,已經不是問題,有太多的專業廠商已經可以解決技術上或者架構上的難題,但走上雲端之後,意味著企業的訊息系統面臨的風險更加複雜化,以往在內網不會遭遇到的資安攻擊或風險,可能都在走上雲端之後立刻遭受挑戰。即使企業使用「內部私有雲」的方式進行雲端架構的部署,仍會面臨內賊難防,而且資料還放在同一個籃子裡,單一資安事件就有可能流洩全企業訊息資訊,風險更加巨大的問題。
如果在走向雲端之前,對企業內部資訊系統的訊息控管政策就已經面臨許多風險,雲端環境的快速部署、強大運算能力等特性將會使這些風險以數倍速度成長並散播。1個能穩定快速散播資訊訊息的環境,一定也會將相關的威脅以相對等的速度散播,唯有在步上雲端前就重視訊息保全,同時在選擇相關雲端服務時,注意該服務是否具備訊息保全的特性,提供服務的環境是否也具備訊息保全的相關資安工具和政策,這才是最基本的雲端安全之道。
