雲端運算時代的資安應用策略
- 楊迺仁
-
在雲端運算及三網融合的時代,資料高度集中化後,自然產生高度的資安需求,敏感資料的取得及複製,也將變得更加容易,也可能引發其他的資安風險,如何確保資訊儲存、處理及傳輸過程的安全管理應用,也變得更加重要。根據Gartner報告指出,超過60%企業計畫在未來18個月評估或測試某種形式的雲端方案。但在此同時,對於資料安全、隱私和法規遵循的疑慮,已成為企業導入雲端方案最大阻礙。
在雲端運算架構中,若需將客戶服務或資料遷移到另一個雲端環境,或需將資料和服務搬移回機關IT環境時,如果沒有適當的工具,或定義規範標準資料格式以及統一服務埠的方式,保證資料、應用和服務的可轉移性,勢必會衍生資訊安全的問題。
因此,為了防止資料被不當使用,企業必須加強重視數位身分辨識技術,讓只有獲得授權的使用者,才能透過數位身分存取後台系統,如用具有USB接頭的密碼鎖設計,來進行使用者認證及作為私人密鑰之用。
在實際的作業過程中,Windows會辨識密碼鎖是否插入USB連接埠,並提示使用者輸入可於密碼鎖上存取的公共?私人密鑰資料的PIN密碼,由於PKI驗證已儲存在密碼鎖中,使用者可以在網路上的任何一台工作站漫遊,為系統及使用者提供極大的彈性。
由於使用雲端基礎設施服務,客戶端需要轉讓控制權到雲端服務供應商,如此即可能影響安全。事實上,現有的雲端服務供應商,多半無法提供資訊安全的機制,而是要求客戶自行負責或保護自己的資料,連帶也影響客戶對雲端服務的信任。
資料加密 為實現雲端安全的基本技術
而且過去的企業IT資料,多半是放在公司內部,就算是放在不同的伺服器,管理的人也是公司自己的人,用防火牆等方式即可阻隔資安威脅。但未來的雲端服務,資料保管等於是由別人控制,加上資訊流通的需求日益提高,除了設法阻止資料外洩外,也可從資料即使外洩,也不會造成損害的角度來思考。
因此,為了確保資訊在雲端運算應用過程的安全性,資料加密已經成為實現雲端安全性的一項基本技術,也是最可靠的技術。除了可隔離多客戶共享環境內的資料,資料加密更已獲得分析師和專家肯定,可為雲端資料提供管控的基礎,更可建立展現資料法規遵循的高標準。
儘管加密本身未必能防止資料外洩,但由於法規規定,外洩的加密資料,可以視同未外洩,等於讓資料受到保護,而金鑰管理則可讓用戶順利存取受保護的資源,讓具備金鑰管理功能的強力加密技術,成為雲端運算系統應採納以保護資料的核心機制。
除了資料本身外,雲端服務系統運作的安全性也非常重要。由於雲端運算的特點,就是多重用戶的使用環境和共享資源,風險類別包括虛擬主機、儲存、記憶體相關的錯誤資料隔離機制,導致機密資料外洩威脅,使用者雖然可以透過虛擬環境,使用很多應用,但如果不能與同樣使用這些虛擬環境的使用者做好區隔,其他使用者就有看到同樣資料的風險,對於資訊安全將是一大威脅。
甚至用戶請求刪除雲端資料時,大多數操作系統環境,可能不會真正將資料消除。尤其多用戶和再利用硬體資源的環境中,此問題會比用戶專用硬體造成更高的風險。就算是私有雲,因為一樣會有外部使用者,多用戶和再利用硬體資源的環境風險依然存在,唯有加密技術,才能避免發生不必要的風險。
導入資訊安全管理制度 減少業務損失
此外,導入資訊安全管理制度,降低對資訊安全威脅,確保企業業務之持續運作,減少業務損失,並獲得最大的投資報酬與商機,更是不容忽視的策略。要維護資訊安全必須要有1個合適的資訊安全政策,並建立「資訊安全管理系統(Information Security Management System;ISMS)」。
如ISO 27000系列就是國際認可的資訊安全管理標準,其中在2005年通過的ISO 27001標準,涵蓋範圍包括資訊安全管理、資訊安全政策、資安組織、資訊資產管理、人力資源安全、實體與環境安全、通訊與作業管理、存取控制、資訊系統獲取開發及維護、資訊安全事故與業務持續等作業等11個領域,衍生共39個管理目標及133個控制項目,可讓企業持續對重要的資訊資產進行風險管控,維持企業商業活動的持續運作,值得企業IT部門加以重視。
目前ISO 27001資安管理標準,已開始從公部門逐步推廣到許多涉及個人隱私的領域,但台灣IBM公司工商事業群總經理劉鏡清也表示,資訊安全管理非一蹴可幾,有賴平時打好基礎,才能因應環境變化持續改善,建立符合資訊安全的架構與管理模式。
最後,雲端運算會以幾種不同的服務類型提供服務,包括應用?軟體作為服務(SaaS)、平台即服務(PaaS)、與基礎設施即服務(IaaS)。每個模式之風險管制和效益都將有所不同,進行資訊安全風險控管時,務必將所有的類型因素都一併考慮。
