勿恃安全威脅不來　恃自身有萬全準備

為協助企業客戶評估其欲選擇之雲端服務適用與否，雲端資安聯盟(CSA)提供了諸如雲端控管矩陣(Cloud Control Matrix)等多項參考指南。資料來源：CSA

綜觀DIGITIMES所執行的「2013企業混合雲應用調查」結果，大致可以體會到，相較於海外各個研究機構的樂觀預期，台灣企業普遍還不具備「混合雲即將大其行道」的認知，現今對此項雲端部署模式的接受度，其實還停留在不算太高的位階。

究其主因，最大的癥結，乃在於多數企業仍未充分信賴混合雲，尤其面對「安全性」這個檢視指標，普遍反應出不小的疑慮，甚至散發出「混合雲與公有雲的安全性差不了多少」的意味。究竟，這些對混合雲安全性投以不信任票的受訪者，只是因為暫時性的不明就理，才導致反應過度？抑或真的看出一些懸而未決的問題？有賴我們加以釐清。

事實上，有人說得很好，「More Powerful」就等於「More Problem」，任何的技術應用，只要牽涉到連網，都難免徒留有心人士乘虛而入的破口，例如2012年舉世譁然的伊朗核電廠慘遭駭客入侵事件，就是很明顯的例子；由此推論，就算看似更加安枕無憂的私有雲，都不能全然杜絕安全威脅的疑慮，更何況相對「門戶洞開」的混合雲，誰敢打包票絕無資安風險？所以，此時多數受訪者所展現之投鼠忌器態度，也實在是有幾分道理。

混合雲的安全問題
究竟，理當比公有雲安全許多的混合雲，還存在哪些安全疑慮？根據來自海外的相關專題報導，確實可歸類出幾個問題，第一項問題，在於缺乏可靠的資料備援；不可否認，雲端服務供應商個個心知肚明，自知應當竭盡所能營造一個高可用的應用環境，藉以確保用戶隨時隨地若需要使用其應用資源，都能得償所願，惟儘管這些業者確實已經盡了全力，但仍難避免一些難以逆料的狀況，就連具有高知名度的供應商，都曾因細故捅出大簍子，造成許多客戶網站當機數日。

隨著這些令人遺憾的事故，不禁讓我們意識到，要想造就一個健全的雲端應用環境，肯定需要建立跨越多重資料中心的備援體系，這是減緩單一資料中心失效衝擊的必然途徑，而有意邁向混合雲的企業，顯然必須嚴加檢視其供應商的備援狀態。

或許有人會問，即使導入混合雲，也不會將具有機敏性質的運算任務，擺在相對不安全的公有雲來執行，但他們忽略了兩件事，首先，怎能確保投放到公有雲的運算任務，全都是無涉重要資料的項目？其次，部署混合雲的另一目的，也在於為In-house環境提供備援機制，萬一真的哪天被迫需要在公有雲啟動企業營運，在那段時期，豈不像是淪為刀俎的魚肉？

第二項問題，則是法令規章的遵循。為了確保合規，導入混合雲的企業，不能只是證明自家的私有雲已經滴水不漏，而必須一併證明其所委以資訊處理重任的公有雲，也是符合法規的，證明的方式，無非就在於兩朵雲之間的協調性，其間任何的資料移轉，都是受到嚴格保護的。

然而更麻煩的是，即使你已經過驗證無誤，公私兩朵雲之間的資料交換過程，確實受到高規格的保護，但這些資料一旦到了公有雲供應商的機房，又怎能確保他們內部沒有專門盜賣個資的宵小之徒，會趁機取走客戶的寶貴資料，讓你的合規表現因而破功？因此，企業必須想法設法營造一個環境，意即確保流傳到公有雲機房的資料，都是經過加密的，至少提高歹徒恣意竊據資料的門檻。

第三道難題是安全管理，主要是因為，企業現行採用的安全控制機能，不論是身分驗證、存取管理等項目，都不能只在私有雲一方有效，而應確保兩邊都適用相同的管理準則，如此一來，即需要就相關安全協議進行大整合。

如何整合？不外是兩種方式，其一啟用使用身分認證管理服務，再藉由這個單一的服務機制，運轉所有的雲端應用服務，另一則是在公私兩朵雲之間執行複製，藉以確保資料的同步安全，然不可否認，不管方式為何，都涉及頗高的整合難度，亟待用戶擬妥完善的執行規劃，按部就班來付諸實踐。

第四項問題出在風險管理之上。此乃由於，一經採用混合雲，難免會使用到令企業備感陌生的應用程式介面(API)，同時也會導致網路設定趨向複雜化，凡此種種，即有可能浮現企業IT管理人員的知識與能力「缺口」，無法有效駕馭。

細數歷來的資安事件，某種程度上，就像是駭客與用戶端管理者之間的鬥法，誰的技藝愈高、愈不會犯錯，誰就能順利擊敗對手；兩軍對戰，任何環節都不容疏漏，豈容IT管理人員留下鞭長莫及的罩門？要解決這個問題，別無他法，必須重回上一篇文章的論述，只選擇採用標準API、且遵循服務導向架構(SOA)開發原則的外部服務，降低IT管理者不熟悉的機率，藉以維持風險管理能量之不墜。

最後一道難題，便是無從檢驗服務供應商的承諾與保證。因為截至目前為止，台灣尚無一套足以完整涵蓋雲端產業的法令規範，藉以評斷服務供應商建構的環境，是否真正符合諸如安全標準、不同雲之間標準化通訊介面…等等條件，如此一來，企業就只選擇相信或不相信服務供應商所做的承諾與保證，除非等到不好的事情真的發生，才能證明供應商能否履行承諾，但事已至此，未免太遲。

善用外部教戰守則　以求趨吉避凶
究竟現今有無完善的教戰守則，可以協助企業徹頭徹尾地檢驗供應商？答案是有的。譬如雲端安全聯盟(Cloud Security Alliance Taiwan Chapter；CSA)，早在2011年期間，便推出「CSA安全信任與保證註冊項目(Security Trust and Assurance Registry；STAR)」，用戶可以透過免費註冊的程序，從而造訪多家雲端服務商所提供的安全控制文件，以及對於各自商品資訊的詳盡描述；藉由此一專案計畫的實施，企業用戶就有跡可循，不致於完全陷入瞎子摸象的狀態，能夠透過相關檔案的披露，深入理解其正在使用、或今後考慮使用的雲端服務供應商，到底存在哪些安全風險。

除此之外，國際電腦稽核協會(Information Systems Audit and Control Association；ISACA)所制定的COBIT(Control Objectives for Information and Related Technology)治理規範，亦是值得參考的依據。據了解，從2012年四月所發布的COBIT 5開始，即已納入雲端運算常見之IT控制目標，任何有意導入混合雲的企業，都可視之為參考指南，據此制定混合雲安全策略，甚至可選擇付費取得COBIT 5的輔助工具－COBIT 5 Enablers或COBIT 5 Implementation，協助企業推動混合雲安全的實務執行。

與此同時，ISACA也對企業用戶提出呼籲，不管企業想要制定何等的安全策略，首要之務，即是確保這些安全策略必須具備「可攜性」，換句話說，企業千萬不要讓安全策略淪於量身訂做，意即凡事只考量到現有的雲端服務供應商。畢竟世事難料，在未來的某一天，企業可能基於服務執行效率、計價合理性…等種種因素，決定轉換跑道至其他的服務供應商，假使每逢這樣的遷移動作，都需要重新思考並制定不一樣的混合雲安全策略，顯然值得商榷，因為在轉換策略的空窗期，難免承受較大的安全風險。