雲端運算安全
雲端運算安全(Cloud computing security),有時也簡稱為「雲端安全」(Cloud security),是一個演化自電腦安全、網絡安全、甚至是更廣泛的資訊保安的子領域,而且還在持續發展中。雲端安全是指一套廣泛的政策、技術、與佈署的控制方法, 以用來保護資料、應用程式、與雲端運算的基礎設施。雲端安全無法與「基於雲端」(cloud-based)的保安軟件(安全即服務,Security as a Service)混為一談,後者是如商業軟件廠商所提供的基於雲端的防毒或弱點管理服務。[1]
與雲端相關的安全議題
[編輯]與雲端運算安全性有關的議題或疑慮[2]有很多,但總的來說可將其分為兩大類:雲端服務提供商(提供軟件即服務、平台即服務、或基礎設施即服務的組織)必須面對的安全議題,以及這些供應商的客戶必須面對的安全議題。在大部份的情況下, 服務提供商必須確認其雲端基礎設施是安全的,所以客戶的資料與應用程式能夠被妥善地保護;另一方面,客戶必須確認服務提供商已經採取了適當的措施,以保護他們的資訊保安。
雲端安全的面向
[編輯]雖然雲端安全議題可被分類成各種面向(Gartner 宣稱有 7 大安全面向[3];Cloud Security Alliance 則指出 13 項安全疑慮[4]),但這些面向可被歸結為 3 大領域[5]:安全與私隱、規範遵循、以及法律或契約議題。
安全與私隱
[編輯]為了確保資料是安全的(不能被未授權的用戶存取,或單純地遺失),以及資料私隱是有被保護的,雲端服務提供商必須致力於以下事項:[5]
資料保護
[編輯]為了妥善保護資料,來自於某一客戶的資料必須被適當地與其他客戶的資料隔離;資料儲存在原來的地方,或是從一個地方移至其它地方,都必須確保它們的安全。雲端服務提供商必須有相關的系統,以防止資料外洩或被第三方任意存取。適當的職責分權以確保稽核與與/或監控不會失效,即便是雲端服務提供商中有特權的用戶也一樣。
身份管理
[編輯]每一家企業都有自己用來控管運算資源與資訊存取的身份管理系統。雲端服務提供商可以用聯邦制或SSO技術來整合客戶的身份管理系統到其基礎設施上,或是提供自己的身份管理方案。
實體與個資安全
[編輯]雲端服務提供商必須確保實體機器有足夠的安全防護,並且當存取這些機器中所有與客戶相關的資料時,不只會受到限制,而且還要留下存取的記錄檔案。
可用性
[編輯]雲端服務提供商必須確保客戶可以定期、如預期地存取他們的資料和應用程式。
應用程式安全
[編輯]雲端服務提供商必須確保透過雲端所提供的應用程式服務是安全的,外包或套件的程式碼必須通過測試與可用性的驗收程式。它還需要在正式營運環境中建立適當的應用層級安全防護 (頁面存檔備份,存於互聯網檔案館)措施 (分散式網站應用層級防火牆)。
私隱
[編輯]最後,雲端服務提供商必須確保所有敏感性資料(如信用卡號碼)是被遮罩住的,並且僅允許被授權的用戶存取。此外, 包括數碼證書和身份識別,以及服務提供商在雲端中針對客戶活動所收集或產生的資料,都必須受到保護。但是以微軟為例,微軟英國分公司的常務董事Gordon Frazer在Office 365的發表會上坦承,不管位於全球任何地點的雲端資料,都會因美國愛國者法案(USA PATRIOT Act)的要求而無法受到私隱保護。因為微軟的公司總部位於美國,它必須符合地方法律。
規範遵循
[編輯]關於資料的儲存與使用有眾多的規範,包括Payment Card Industry Data Security Standard(PCI DSS)、Health Insurance Portability and Accountability Act(HIPAA)、沙賓法案等。這些規範中有許多都需要定期的回報和稽核追踨。雲端服務提供商必須協助他們的客戶可以適當地遵守這些規範。
商業連續性與資料復原
[編輯]雲端服務提供商必須有商業連續性與資料復原計劃,以確保在發生災害或緊急情況的情況下可以繼續提供服務,並且可以復原任何遺失的資料。這些計劃必須和客戶分享並可讓客戶審視。
日誌與稽核追蹤
[編輯]除了產生日誌與稽核追蹤,雲端服務提供商必須與客戶合作,只要客戶有需要,就必須確保這些日誌與稽核追蹤會被適當地保全、維護,並當有法庭調查(如EDiscovery)的需要時能夠取用。
獨特的規範要求
[編輯]除了順應客戶的需求,由雲端服務提供商負責維運的數據中心也可能要遵循規範的要求。
法律或契約議題
[編輯]除了遵從上面列舉的安全和規範議題,雲端服務提供商和客戶依照責任來協商訂定條款(例如,當有資料遺失的事件發生時該如何協商解決)、知識產權、與服務的終止(何時會將資料和應用程式還給客戶)。
公眾的記錄
[編輯]法律問題可能還包括公務機關對記錄儲存的要求,許多中間機構必須依法使用特定的方式來儲存電子記錄。這些可能是由立法單位或法律要求的機構所制定的規則和慣例,公眾在使用雲端運算和雲端儲存時,都必須要考慮到這些議題。
參考資料
[編輯]- ^ Cloud-based Security Software Directory. Mosaic Security Research. (原始內容存檔於2011-07-14).
- ^ "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal. 2009-12-28 [2010-01-25]. (原始內容存檔於2019-08-31).
- ^ Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25]. (原始內容存檔於2014-09-06).
- ^ Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04].[永久失效連結]
- ^ 5.0 5.1 Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25]. (原始內容存檔於2009-11-24).