4.1 雲端運算之資訊安全探討
由於雲端服務與雲端運算科技的複雜性與創新性,使得雲端運算面臨的挑戰 如下:
1. 資料的安全性與隱私性
資料放在遠端雲端資料中心是否安全?是否容易外洩?如果資料儲存與其他企 業共享同一個伺服器,是否妥當?
2. 服務效率與可用性
雲端服務提供者是否能確保服務的傳輸、執行的效率服務的可靠性為何?例如:
Amazon、Salesforce.com 等雲端服務提供者均有當機而導致服務停頓的事件。
3. 標準性與轉移性
企業如何將既有的軟體、服務轉移至雲端服務提供者?保留在企業的軟體與雲端 服務供應商的服務如何整合?雲端服務供應商間服務是否能協同?企業轉移軟 體至服務供應商後,是否能夠輕易轉移到其他服務供應商?
4.2 雲端運算之威脅
依據雲端安全防護聯盟 CSA(Cloud Security Alliance)對雲端運算可能遭遇的七 大安全威脅分述如下:
1. 濫用或利用雲端運算進行非法的行為(Abuse and Nefarious Use of Cloud Computing)
此一威脅主要是針對雲端運算服務的供應者而言。雲端運算服務供應商(尤其是 IaaS 與 PaaS 供應商) 為了降低使用的門檻,通常並不會要求使用者必須經過 嚴格的資料審查過程就可以直接使用其所其提供的資源,有些服務供應商甚至提 供免費使用的功能或試用期。這些做法雖然可以有效推廣雲端運算的業務,卻也 容易成為有心分子利用的管道。事實上,已經有包含殭屍網路、木馬程式下載在
2. 不安全的使用者介面與 APIs (Insecure Interface and APIs)
3. 惡意的內部人員(Malicious Insiders)
內部人員所造成的問題,這幾年來已經成為許多組織關注的重點,採用雲端運算
4. 共享環境所造成的議題(Shared Technology Issues)
雖然使用雲端運算的服務(尤其是 IaaS) 時使用者好像擁有獨立的環境,但是
6. 帳號或服務被竊取(Account or Service Hijacking)
儘管帳號或服務被竊取的問題由來已久,但是這類問題對於雲端運算來說更具威 脅性。首先因為雲端運算不像傳統的 IT 架構般擁有實體的東西,因此一旦帳號
或服務被竊取後,除非有其他的方式加以證明,否則惡意分子可以完全取代原先 使用者的身分。在傳統的 IT 環境中,因為使用者至少還擁有硬體的控制權,所 以即使發生帳號或服務的竊取行為,使用者還是可以進行一些事後的補救措施,
但是這些補救措施在雲端運算的架構下可能無法執行。此外,對於那些公開的雲 端運算服務而言,直接暴露於網際網路上也讓這些竊取行為更加容易發生。
7. 未知的風險模型(Unknown Risk Profile)
以安全的角度來說,”未知”是一種芒刺在背的威脅。以雲端運算來說,不管是 IaaS、PaaS、SaaS 都是將服務包裝成一個使用者不需了解也無法了解的系統,讓 使用者專注於如何”使用”該系統。但是這樣的方便性,也讓使用者無法了解這 IaaS、PaaS 和 SaaS 三種服務方式與公有雲、私有雲以及混合雲三種部署方式,
採用服務種類的不同,所面臨的雲端資訊安全風險亦會有所不同。例如:公有雲
式的重要性。若該雲端服務相關資料與應用程式的重要性不高,那麼標準的資訊 能力,例如:由雲端安全聯盟(Cloud Security Alliance) 所提供的 CCSK(Certificate of Cloud Security Knowledge)認證。針對風險評核表中各項考量因素,雲端運算 服務供應商均應提供完善且直接對應的管理能力以及事後補救方案。當企業挑選 出合適的雲端運算服務提供商後,企業需與其簽訂服務水準協議(SLA,Service Level Agreement),其中除明訂雲端運算服務供應商各項服務應提供的水準以及 違反時應給付予企業的賠償外,對於各項疏失所造成的責任亦應清楚分擔。
5. 定期追蹤考核
與選定的雲端服務提供商簽訂契約後,企業便可依照此契約使用該業者提供的雲 端服務,但對於雲端服務資訊安全的評估仍應持續進行。由於會因為資訊技術的
改善、法規條文的頒布、企業業務範圍的調整等內在或外在因素的改變,企業對 於採用的雲端服務資訊安全的要求也會有所改變,因此,企業應定期檢視並適時 修改風險評核表,以確保該雲端服務的資訊安全等級隨時保持在企業要求水準之 上。雲端服務背後的資訊架構以及流程相較於傳統資訊架構複雜許多,企業須面 對的資訊安全問題也相對較多。因此,企業在採用雲端服務前,需按步驟對整體 雲端服務採用做全面性的風險評估,了解各環節潛藏的資訊安全風險,以便做事 前預防。同時,對於潛在風險可能造成的衝擊,企業亦需與雲端服務提供商明確 地分攤責任並共同制定事後的補救方案以降低帶來的傷害,如此企業才能安全無 慮地享受雲端服務所帶來的效益。
第五章結論與建議
雲端運算的安全性(有時也簡稱為「雲端安全」)是一個演化自電腦安全、網路 安全、甚至是更廣泛的資訊安全的子領域,而且還在持續發展中。雲端安全是指 一套廣泛的政策、技術、與被佈署的控制方法, 以用來保護資料、應用程式、
與雲端運算的基礎設施。請不要將雲端安全與「基於雲端」(cloud-based)的安 全軟體(安全即服務,security as a service)混為一談,後者如商業軟體廠商所提 供的基於雲端的防毒或弱點管理服務。
雲端服務改變了以往的商業模式,採用雲端服務可使企業以更符合成本效益的方 式經營,節省資訊軟、硬體及維護費用,企業毋須管理繁雜的 IT 設施,可以更 專注於核心價值的經營與創造,對於資源有限且資訊人力不足的中小企業而言,
效果更為明顯。
雲端運算定義為: 「透過網際網路的分散式運算( Distributing Computing)架構,
所提供的一種服務(Service)模式,並且具備彈性(Flexibility)與可擴充(Scalability)
的能力」,特別強調「平行運算」的資源彈性和可用性(Availability)。雲端運 算其實是有兩個面向:
一是雲端運算前端所提供的服務(Cloud Computing Services);另一個是雲端運 算背後複雜的資訊技術(Cloud Computing Technologies),包括虛擬化以及自動化 管理等技術,其特色為透過網際網路提供服務、資源動態調整、分散虛擬架構、
需要多少就用多少,依使用量付費之。並依雲端提供服務的模式分為:軟體即服 務(Software as a Service,SaaS)、平台即服務(Plateform as a Service, PaaS)、
架構即服務(Infrastructure as a Service, IaaS)等 3 類。依使用者對安全性的需求 不同,有公有雲、私有雲及混和雲 3 種部署方式。
度,雲端業者可以提供越透明即時的資訊,企業使用者則可以隨時掌握現在採用 雲端服務的服務水準以及是否有安全上的顧慮。
雲端服務背後的資訊架構以及流程相關相較於傳統資訊架構複雜續多,企業需面 對的資訊安全問題也相較多。因此,企業在採用雲端服務前,需安步驟對整理雲 端服務採用全面性的風險評估,了解各環節潛藏的資訊安全風險,以便事前預防。
同時對於潛在的風險可能造成的衝擊,企業亦需與雲端服務提供商明確的分攤責 任並共同制定事後的補救方案以降低帶來的傷害,如此企業才能安全無慮的享受 雲端服務所帶來的效益。
參考文獻
1. Danielson, Krissi. Distinguishing Cloud Computing from Utility Computing. Ebizq.net. 2008-03-26 [2010-08-22]
2. Gartner Say's Cloud Computing Will Be As Influential As E-business.
Gartner.com [2010-08-22].
3. Gruman, Galen. What cloud computing really means. InfoWorld.
2008-04-07 [2009-06-02]
4. Buyya, Rajkumar; Chee Shin Yeo, Srikumar
Venugopal. Market-Oriented Cloud Computing: Vision, Hype, and Reality for Delivering IT Services as Computing Utilities [2008-07-31]
5. Open source fuels growth of cloud computing, software-as-a-service 6. VMware vSphere 5: Private Cloud Computing, Server and Data Center
Virtualization 7. Platform ISF
8. OpenStack vs. Eucalyptus: Cloud Rivals or Friends?
9. 張德厚. 與學界合作 Google 推廣「雲端運算技術」. 中廣新聞網. 2008 年 1 月 30 日 [2008-2-1].
10. Cloud-based Security Software Directory. Mosaic Security Research.
11. "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal.
2009-12-28 [2010-01-25].
12. Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25].
13. Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04].
14. Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25].