雲端運算是目前最熱門的資訊科技應用之一,透過無遠弗屆的網路連結與運算資源,讓組織可以獲得過去需要耗費大量成本才能使用的服務。不過,新科技的應用總有其風險存在,想要降低可能的安全風險,就有賴於足夠的認知和正確的應對之道。在幾年前談到雲端運算時,它還只是一個趨勢和概念,許多人對於雲端都有不同的解讀與說法,甚至有人認為它只是舊酒裝新瓶的商業炒作,會是另一個網際網路上的泡沫。但是,隨著今日Amazon、Salesforce所提供的商業應用已相當成熟,Google、Apple所提供的Google doc、iCloud等服務,更讓一般大眾都能享受到雲端科技所帶來的便利與創新,雲端應用已不再只是一項口號,而是真正地實現在我們的生活之中。
面對雲端運算和其衍生的各項創新服務,有些先知先覺的開創者已經品嘗到甜美的果實,後知後覺的採用者也因為前人的經驗累積,逐漸地跟上雲端的腳步,但也有人因為不了解雲端,只是道聽塗說而害怕可能的安全問題,一直裹足不前的結果,反正讓自己錯失了良機,同時也失去了產業競爭力,這是令人感到惋惜的地方。
當然,雲端的應用並非全然都是正面的好,站在使用者的角度,我們必須先了解雲端先天的限制與部署的架構,才能讓它的應用符合自身的需求,同時也要明瞭可能潛藏的安全風險,才能進一步有效地駕御它,使其成為營運發展的好幫手,所以接下來的一系列文章,將帶領大家來一窺雲端安全的全貌。
雲端風險來自於何處?
在過去的文章中曾經提到,雲端的風險主要來自於三個層面,分別是網路、資料與法規,而這些風險又會充分地反映在雲的架構、治理與營運之中,同時也千萬不要忘了,目前雲端仍架構在既有的資訊技術之上,這也就是說,傳統的資訊安全問題,在雲端之上依舊會存在,仍然需要我們審慎去處理應對,所以包括像是實體安全、網路安全、系統安全,一直到應用程式安全等,這些對應的安全控制措施都是不可缺少的。
為了對整體的雲端安全有所掌握,在2009年的RSA會議中,有數十家業者宣布共同組成了雲端安全聯盟(Cloud Security Alliance;CSA),希望藉由業界的實務經驗與力量,來因應雲端應用可能面臨的安全問題,因此,雲端安全聯盟的主要任務,就是提供雲端應用的實務知識和訓練,以協助組織克服並有效降低在採用雲端服務時的風險,所以在2009年4月發布了第一版的雲端運算關鍵領域安全指南(Security Guidance for Critical Areas of Focus in Cloud Computing),透過數十位橫跨美國、歐洲、亞太地區的專家學者,提供了務實詳盡的的觀點和建議,來幫助企業和組織在部署或採用雲端服務時,有足以參考的最佳實務依據。
除了雲端安全指南之外,為了培育更多業界的雲端安全人才,雲端安全聯盟在2010年6月推出了雲端安全認證計畫,並且設計了全世界第一張針對雲端安全的知識認證CCSK(Certificate of Cloud Security),以便確保從事相關的雲端產業人員,具有足夠的認知來捍衛雲端的安全。
了解雲端應有的安全責任
隨著雲端服務的應用愈來愈多元,產業也在實務中經歷了更多安全議題的洗禮,在2011年11月,雲端安全聯盟正式發布更新的雲端運算關鍵領域安全指南v3.0,在這份指南之中,將雲端安全劃分為三大部分,並且涵蓋了14項安全領域:
第一部分:雲端架構(Cloud Architecture)
在這個部分,首先提到了第一項安全領域 -「D01雲端運算架構框架」,它是根據美國國家標準與技術研究所(NIST)所提出的雲端運算定義,說明了雲端運算所具有的五大必要特徵、3種服務型式及4種部署的模式,讓組織可以依照其所提供或採用的雲端服務,明瞭其安全責任和管理重點。
第二部分:雲端治理(Governing in the Cloud)
所謂的雲端治理,它關注在五項安全領域,包括「D02治理與企業風險管理」,要求組織必須具備評估雲端運算風險的能力,像是雲端服務供應商如何應對風險、組織保護敏感資訊的責任等;其次是「D03法律議題:合約與電子證據發現」,談到了在事故發生時,組識對於資料隱私、證據蒐集和法律相關的責任;再來是「D04法規遵循與稽核管理」,協助組織了解如何符合內部與業界法規的要求,以及實施安全稽核的重點;接下來是「D05資訊管理與資料安全」,組織必須依照機密性、完整性、可用性,以及資料的生命周期來實施對應的控制措施;最後一項為「D06相互運作與可移植性」,提到一旦雲端服務需要轉移或更換供應商時,如何確認供應商具備可執行運作的能力。
第三部分:雲端營運(Operating in the Cloud)
第三部分是雲端營運,牽涉到許多技術性的安全議題,也是大多數組織比較會重視的地方,它包括以下八項安全領域:
- 「D07傳統安全、營運持續和災難復原」- 組織需要了解傳統的安全問題是否已有妥善的處理,以及採用雲端服務之後,萬一發生事故,應如何確保既有的營運水準,並且具備災難復原程序。
- 「D08資料中心營運」- 要求事先評估雲端服務供應商和其資料中心的營運程序,以掌握可能的安全風險。
- 「D09事故回應」- 說明事故發生時,當下是否有緊急應變與處理的能力,並且能夠依照法規要求進行通報,以避免災情的擴大。
- 「D10應用程式安全」- 要求評估在雲端環境下運作的應用程式,是否含有可能的安全漏洞,以及既有的應用程式是否適合移至雲端運行。
- 「D11加密與金鑰管理」- 提到業界針對加密機制和金鑰管理的安全建議,還有要如何落實資料的存取保護。
- 「D12識別、權限與存取管理」- 談到了身分驗證與授權的重點性,如何在雲端上提供所需的身分供應與存取控制。
- 「D13虛擬化」- 著重在目前普遍應用在雲端的虛擬化技術,如何避免虛擬主機的安全風險,以及在虛擬化環境中的安全管理問題,提供了實務可行的建議。
- 「D14安全即服務」 - 安全即服務的重點在有別於如何確保在使用雲端服務時的安全,從另一個角度透過雲端服務來評估和強化系統和資料的安全。
針對雲端運算可能面臨的安全風險,雲端安全聯盟在「Top Threats to Cloud Computing」文件中識別了七項最常見的安全威脅:
- 濫用與非法使用–雲端運算提供了近乎無限的運算、網路與儲存資源,除了應用在正面的商業行為之外,也可能受到惡意人士的利用,作為像是破解密碼、阻斷服務攻擊、惡意程式主機、殭屍網路(Bonet)等的利器,大幅提升其非法活動的能力。
- 不安全的介面與APIs –雲端運算透過許多應用程式介面來提供服務,如果在身分驗證方面不夠嚴謹或是存在安全漏洞,可能就會造成使用時的安全問題。
- 惡意的內部員工–在雲端上可能存在大量的商業資料和重要的商務應用服務,一旦雲端服務供應商的內部員工有惡意存取或破壞的行為,就會造成組織重大的損失。
- 資源共享的技術問題–許多雲端服務是基於共同的軟硬體資源,提供給各來自不同組織的使用者,一旦某項資源受到損害(例如主機被滲透竊取資料),即可能央及其他共用的使用者。
- 資料遺失或外洩–雲端服務供應商存放資料的地點(包括儲存設備和資料中心),如果沒有實施良好的管控或備份機制,可能就會造成資料外洩或損毀。
- 帳號或服務被挾持–雲端供應商藉由使用帳號來提供各項服務,如果帳號安全機制遭到破解,或是帳號受到竊取利用,都會導致服務的失效。
- 未知的風險–雲端提供了創新服務,也就代表背後藏有許多未知的風險,即使在技術層面上已不斷的更新修補,管理機制也可能會有不足的地方,再加上資料隱私要求在各個國家皆不相同,資料安全與合法性仍需要持續的重視。
若是服務的供應商,所需要考量的安全層次就會多更多,例如從最底層的硬體建置和效能方面,是否足以應付雲端的大量存取使用;架構在硬體之上所使用的軟體虛擬化技術,是否可達成有效分配運算、網路、儲存等資源,以及虛擬映像檔的管理安全性;還有再往上到應用面的不同部署型式(私有雲、公有雲等)和服務型式(SaaS、PaaS、IaaS)的安全責任歸屬,加上管理方面的支援能力(如報表、帳務、容量管理、安全監控等),這些都是在提供服務之前需要確認的事項。
所以,為了因應雲端的安全風險,組織務必要具備足夠的雲端運算安全認知才行,建議最可行的方式,就是先從國際認可的作法來著手,而雲端安全聯盟所提供的雲端運算關鍵領域安全指南,正是最佳的實務參考,這些擁有雲端安全知識的人員,未來還可進一步取得CCSK雲端安全知識認證,成為組織中重要的雲端運算安全人才,也才能更有效地推動各項雲端應用服務。(本文刊載於2011年12月號網管人雜誌)
[參考資料]
1 則留言:
張貼留言