[觀點] 雲端運算安全入門(六) - 雲端資料安全防護與管理

對組織而言，雲端服務和傳統資訊服務的最大不同之處，在於資料的本身不再像以往可由組織內部的資訊人員來管理，而是完全交由外部的雲端服務供應商。雖然對於用戶來說，藉由服務供應商所提供的管理介面，仍然可以針對資料進行新增、刪除、修改等動作，但事實上這樣的控制程度是很低的，因為用戶完全不清楚資料實際位於何處，以及是否已經完整的進行備份。

雲端資料的安全挑戰

由於雲端的資料會受到來自許多不同用戶端設備的存取，所以在安全風險的思考方面，至少要考慮會有誰(人員、應用程式、系統)能存取這些資料？能夠透過什麼樣的方式(設備、管道)來進行存取？

舉例來說，隨著個人雲端化的時代來臨，許多組織員工為了使用的方便性，可能會將一些含有商業活動的敏感性資料，在未經授權的情況下就上傳到雲端，也沒有依照組織的安全政策，實施加密或存取控制等相關的安全保護措施。針對這種情況，建議可以透過一些資安技術的輔助，像是資料庫或檔案存取活動的監控，以及防止資料外洩防護(DLP)方案的佈署來提供一些協助。

目前，雲端安全聯盟認為和雲端資料有關的安全挑戰，大致可分為以下幾項：

• 資料本身的安全 – 在傳統的IT環境中，為了達到資料的安全，我們會依照資料的機密性、完整性、可用性、真實性、認證、授權和不可否認性等要素來進行風險的評估，並且採取對應的安全控制措施，這些安全要求到了雲端的時代，仍然是不可或缺的因應作法。 

• 資料存放的位置 – 由於雲端運算的特徵之一為服務資源是透過集中化資源池的概念來提供，可以動態且彈性的調配用戶所需的資料儲存空間，因此用戶對於資料本身所在的位置是難以控制的。如果組織對於資料存放的位置有明確的要求，就需要在合約或服務等級協議中明訂清楚，讓服務供應商來保證資料和備份檔案都會存放在所要求的地理位置內。 

• 資料的刪除與銷毀 – 一旦用戶終止與服務供應商的合約關係，如何確保曾經存放過的資料，已被徹底有效的刪除銷毀，在實務方面來說不太容易。除了要尋求一項可用的技術，能夠有效清除包括儲存空間或虛擬主機上所存放或運算過的資料之外，另外對於資料內容自行加密，或是要求服務供應商提出資料銷毀的切結保證，將會是比較可行的因應作法。 

• 不同用戶資料的混合 – 由於雲端服務採用了虛擬化技術，在同一個實體主機或儲存設備空間，將會提供給多個不同用戶來租用，這也就表示在同一個位置裡，可能會同時存在著不同用戶的資料，對於這些敏感資訊要如何加以區隔，以避免混合之後產生不必要的風險，也被視為是一項安全挑戰。 資料的備份與重建 – 用戶需要有一項清楚的認知，就是在所有的雲端服務中，不見得都會提供備份與資料重建的功能。換句話說，在採用服務之前，用戶必須確認供應商在資料備份方面的實際作法和流程，以避免資料不會受到意外的遺失、覆蓋和損毀，建議也要定期加以測試，確認資料可真正完整的復原。 

• 法律所需的資料發現 – 一旦所採用的雲端服務牽涉到法律案件調查時，如何發現並提供法律訴訟所需的證據，就顯得十分重要。因此，想要確保供應商能夠提供或是用戶能夠發現所需的電子證據，在實務方面仍然存在著許多困難。 資料的聚合和推理 – 如果將大量的資料集中在雲端之上存放，有一個風險為當資料內容可以匯整或相互關聯參照時，也可能洩露出敏感的資訊。舉例來說，像是個人資料的內容如果可以輕易進行交叉比對，那麼所反映出的資訊可能會識別出特定的個人，進而造成個人隱私的不當揭露，因此這個問題也要予以審慎評估。

資料安全生命週期

在雲端安全聯盟(CSA)所提出的雲端運算關鍵領域安全指南中，針對資料安全的維護，認為它與一般所談的資料生命週期有所不同，必須要配合資料安全的生命週期中的各個階段，實施對應的各項安全控制措施才行。所謂的資料安全生命週期，可分為以下六個階段：

1. 產生(Create) – 資料一旦產生，首先要做的就是針對資料進行分級分類，最常見的安全分類是將資料區分為一般、內部使用、機密、極機密等，再分別對應到不同的存取控制和安全處理要求。


2. 儲存(Store) – 在資料的儲存階段，需要針對資料實施存取控制，依照用戶所具有的身分來賦予適當的權限。另外，相關的控制措施還包括了資料加密、權限管理及資料內容的過濾等。


3. 使用(Use) – 在資料使用階段，安全的控制措施包括了針對存取資料的活動進行監控，並且需要依照所定義的政策來使用，在這裡也同樣會實施權限的管理。如果資料將會提供給應用程式存取使用，那麼應用程式的安全防護也會是必要的措施。


4. 分享(Share) –資料如果需要進行傳輸或資料交換，除了實施加密機制、存取控制和確保所使用的應用程式本身的安全之外，建議的控制措施還包括可針對資料所流經過的位置，例如存放的資料庫、行動裝置與儲存媒體、採用的網路通訊協定等層面來實施安全管制，以避免資料受到不當的外洩。


5. 歸檔(Archive) – 如果資料需要進行長時間的備份歸檔時，要注意的是所使用的儲存媒體是否已經具有足夠的安全防護，包括了資料內容進行加密處理，針對儲存媒體所存放的環境和位置來實施有效的監控與防護，以落實有效的資產管理。


6. 銷毀(Destroy) – 一旦資料確認不需要再使用，或是終止與雲端服務供應商的合約關係時，相關的資料就應該進行安全的銷毀，並且要偵測掃瞄是否可能有殘餘的資料，如果無法確保資料已經徹底刪除，那麼對資料內容進行高強度的加密，並且銷毀所使用的金鑰，也算是一種補償性的安全控制措施。

資訊傳輸與安全建議

如果組織對於資料傳輸有高度的安全性要求，雲端運算關鍵領域安全指南也給予我們的三項可行的建議作法。首先是可針對用戶端和應用程式來進行加密，如果資料存放在用戶端設備或透過應用程式傳輸之前，就能夠實施加密，資料安全將會獲得較多的保障。其次是針對網路連線的加密，可以透過硬體設備或軟體方式，建立所需的加密連線通道，常見的作法包括SSL、VPN、SSH等，確保在點對點之間已實施了安全防護。第三項作法是採用代理伺服器(Proxy-based)的加密方式，這對於一些較為老舊或缺少加密功能的應用程式來說，最大的好處是在傳輸資料之前，能夠將資料先傳輸到代理伺服器，再透過它來實施資料加密功能。

針對資料安全的防護與管理，傳統最基本的作法就是考量如何達到資料的機密性、完整性和可用性，這些在雲端時代仍然是可用的，只是如今一旦把資料放入到雲端之中，隨著佈署模式與服務型式的不同，將會衍生出其他的安全風險，並且也會遭遇到不同的挑戰，若仍然是完全依照傳統的資料保護作法來進行，很可能會水土不服而難以因應，所以這時候組織就需要採取更多角度的控制措施了。(本文刊載於2012年5月號網管人雜誌)

[參考資料]
CSA：Security Guidance for Critical Areas of Focus in Cloud Computing