因此本研究目的如下:
一.建立一個量化模式,只要針對各個弱點進行評估就可以預測出各個 風險事故(peril)造成的影響,進而算出總體風險分數、建立風險矩陣。
讓組織在選擇服務商、及分配資源時有所依據。
二.以皮爾森相關法(Pearson correlation)分析各個風險、弱點、和資產間 因果影響程度,讓組織在分配資源時作為參考。
第二章、 文獻探討
爲暸解雲端運算資訊安全風險管理議題,本章將會分別介紹雲端 運算、風險管理、和雲端運算的風險管理。
2.1 雲端服務模式
2.1.1 雲端運算的定義
在正式開始談雲端服務風險前,我們要先探討何謂雲端運算?
Yusuf et.al.(2011)認為「『雲端運算』基本概念要回到 1960 年代 John McCarthy 認為的『運算能力某天可能會被組織起來變成一種公共事業』
(這個比喻幾乎符合所有現代雲端運算的特徵,包括彈性供給、公用事 業式的供應、 線上作業、無限供應的感覺)。…而首次在學術上使用雲 端運算一詞的是 1997 年的 Ramnath Chellappa 教授。」Ramnath Chellappa
& Gupta(2002)表示「Chellappa 描述的『雲端運算』(cloud-computing) 是一個動態的運算框架,運算範圍由技術、經濟、地區、和資訊安全 需求以及基礎服務提供者決定。」美國商務部標準與技術研究所(NIST, 2011)提到更明確的雲端運算定義是「一個具有方便性、能夠依需求網 路存取結構化運算資源的模式(例如:網路、伺服器、儲存裝置、應用 程式、和服務),這些資源可以藉由極小的管理負擔或與雲端提供者的 互動快速分配和釋放。(NIST, 2009)」Vaquero et.al.(2009)認為雲端運算
「是一個能夠簡單使用和存取虛擬化資源(例如:硬體、發展平台、服 務)的大池子。這些資源可以藉由被重複動態配置應付易變化的負載需 求,以允許資源使用最佳化。而這池資源的利用方式就是一種典型的 使用者付費模式,這種模式也同時具有令基礎架構提供者(Infrastructure Provider)擔保客製化服務保證協定(SLAs)的意義。」
綜合以上描述。雲端運算從技術上來看是一個動態運算框架,此 框架把各種虛擬化資源(如:運算能力、儲存空間、記憶體、應用程式、
服務)儲存在一個大池子中,並快速釋放和配置給使用者應付易變化的 需求、最佳化資源使用。從服務觀點來看雲端運算是一種使用者付費 模式,令使用者透過網路取得所需資源,用多少付多少,就像是水電 一樣的公用事業。
2.1.2 雲端運算的服務模式
在傳統上組織資訊系統從基礎架構(硬體設備、儲存空間、網路、
運算處理器…)、系統發展和執行環境(資料庫、中介軟體、發展套件、
執行架構…)、還有應用軟體系統(CRM/ERP/HR、商業流程…)都由組
織自己一手包辦,而雲端運算服務模式依照外包程度不同(服務商提供 資源不同)又可分為三種類,根據 IBM 在 Cloud Security Guidance IBM Recommendations for the Implementation of Cloud Security 紅皮書(2009) 中所提及,分別為 SaaS、PaaS、IaaS(如圖 2-1):
一.架構即服務(Infrastructure as a Service , IaaS)
提供顧客應付處理器、儲存體、網路、或其他基本運算資源需求 的能力,並允許顧客部署和隨心所欲執行任何軟體(包含作業系統和應 用程式)。(Zissis & Lekkas, 2011;Yoo ,2011)而在技術上是把虛擬機器 (virtual machines ,VMs) 依 照 需 求 大 小 快 速 且 簡 單 的 分 配 給 顧 客 。 (Vaquero et.al., 2011)
二.平台即服務(Platform as a Service , PaaS)
提供顧客部署自行創建或從外部獲取的應用程式,而此應用程式 使用服務商支援的程式語言或工具建造在雲端架構上。(Zissis & Lekkas, 2011)終端使用者可以控制和設計應用程式,但無法接觸到基礎架構。
(Yoo, 2011)
三.軟體即服務(Software as a Service, SaaS)
提供顧客線上使用在雲端架構上執行的應用程式,這個應用程式 能 夠 在各 種不 同的 輕型 客戶 端 裝置 (thin client)上 被使 用, 例如 : Web-based mail。(Zissis & Lekkas, 2011)且終端使用者不能控制應用程 式設計、伺服器、網路、或儲存架構。( Yoo, 2011)
而美國商務部標準與技術研究所發展出更完整的雲端架構。整個架構 包含雲端消費者、雲端稽核、雲端提供者、雲端代理商、和雲端負載
圖 2-1.雲端運算的三種服務模式
資料來源:IBM(2009), ‘Red Book ─ Cloud Security Guidance ─ IBM Recommendations for the Implementation of Cloud Security’, IBM
者等五大塊,其中雲端提供者裡又包含安全、隱私、服務管理、資源 抽取與控制層、和實體資源層,而原本的 SaaS、PaaS、IaaS 則縮到雲 端提供者的服務層級內。(如圖 2-2)
從以上文獻中可以歸納出這 Laas、SaaS、PaaS 三種服務模式已經 是美國政府與業界共同認可的主要雲端服務提供模式。