在「傳統安全、營運持續和災難復原」的安全領域中,雲端服務的用戶和供應商必須了解傳統的資安問題,在轉移到雲端服務的架構之後,是否都有對應的控制措施,一旦組織轉而採用或是由資訊單位本身提供雲端服務之後,對於資訊安全的控管與營運持續的要求為何?如何進行災難復原?就成為不得不去面對的一大問題。
對公有雲而言,由於雲端運算是由外部第三方所提供的服務,隨著所採用的系統主機、網路設備、儲存空間、資料本身都委外來處理,因此進行安全風險評估時,就需要確認服務供應商是否皆採取了對應的控制措施,使系統和資料都能受到妥善的防護。
若是組織建置了私有雲的話,對提供服務的內部資訊單位而言,維護主機、網路和系統的安全,更是責無旁貸的責任,針對可能面臨的資安問題與預期的風險,勢必也要有因應的處理方式。
如果從雲端服務的型式來看,上層的服務若是由下層的服務來支持提供,那麼在評估安全時,就不能不去了解底下開發平台和基礎設施可能具有的安全風險。因為在雲端服務之中,SaaS會繼承PaaS、PaaS也會繼承IaaS服務可能具有的安全問題,所以位於上層的服務供應商所需要承擔的安全責任會更多,對於底層和基礎資訊設施有關的傳統安全問題,也就不可輕易地忽略。
落實人員管理與實體安全
面對傳統的資安問題,由於牽涉的層面較廣,因此採用深層防禦的策略,分層實施控制措施,將能夠有效地降低風險。以資料中心的管理為例,實體安全是資安防禦的第一線,控制措施至少包括了安全政策、門禁與人員管制、身分識別與授權、環境偵測與監控設備、機房管理辦法、緊急應變程序、人員教育訓練等。另外,還需要確認資料中心位置地點是否合適、考量自然災害發生的可能性,以及是否取得國際標準驗證如ISO 27001、ISO 20000等,這些都可作為落實有效管理的參考。
記得千萬不要忽視人的問題,對雲端服務供應商而言,即使佈署了各項技術性的安全措施,像是防火牆、入侵偵測系統、虛擬化安全、防毒軟體等,只要有人可以直接進行機房,直接操作系統或接觸到網路設備,就可以關閉電源重啟系統,也能夠破壞網路連線,所造成的影響與立即性的衝擊,可能遠高於駭客長時間不斷地試著入侵系統,所以更需要採取適當的控制措施。
針對人員安全管理,採用職責分離的方式和最小權限原則,可以避免權限過大的情況,舉例來說,一項重要的系統變更流程,最好可以設計需要兩位不同職務的人員才能完成,並且給予工作所需的權限即可,而不直接賦予過大的管理權限。同理,在應用程式管理方面,也要避免讓程式開發人員和應用系統營運人員屬於同一人,以避免可能的安全漏洞遭到掩蓋而受到惡意人士的利用。
此外,若是敏感性或權限較大的高風險工作,在人員到職前應做適當的背景查核,確認在過去並無不當的行為記錄;到職後要給予安全宣導訓練,說明各項的資訊安全規定,並要求簽署保密協定;萬一人員有異動時,也要依據離職流程確認職務的交接,進行系統權限的停用與轉移等。
營運持續與災難復原是一體二面
雲端運算若是採用服務的方式來提供,如何確保服務不會到資安事件的影響,能夠持續有效的運作,對服務供應商而言是不可缺少的工作。從資訊安全的角度來看,所有的工作幾乎都圍繞在機密性、完整性和可用性三個要素來進行,因此和服務供應商所簽定的合約或服務等級協議中,針對這三項要素就需要明確可量測的指標,才有辦法定義在何種狀況下造成所謂的服務中斷。
營運持續計劃的有效性在整體的營運持續管理中是最重要的一環,如何證明其有效性,就來自於營運持續計劃是否完整、是否符合現況,以及是否有足夠的資源可以順利實施。在之前的雲端治理與風險管理中曾經提到,服務供應商在營運持續計畫中至少要具體說明事故發生時的應對策略、處理流程、備援機制及災難復原計畫等內容。
在應對策略方面,包括了需要成立危機應變小組(Emergency Response Team;ERT)與事件處理小組(Incident Response Team),清楚定義人員的職責與工作;在處理流程方面,至少需要涵蓋偵測、通報、判斷、處理與記錄五項流程;萬一災難已經造成損害,需要進行各項設施或資料復原時,就要依照當初風險評鑑的結果,針對系統風險等級所設定的優先順序,以及所要求的資料復原時間點(Recovery Point Objective)和復原目標時間(Recovery Time Objective),依序來進行還原;在災難復原計畫中,也要說明在復原過程時所需要的基本安全控制,包括復原場所的安全、人員的安全職責等。
實務可行的作法與建議
在雲端安全聯盟(CSA)所提出的雲端運算關鍵領域安全指南中,針對傳統安全、營運持續與災難復原的建議,包括:
- 雲端服務供應商針對用戶所需的安全要求,應該建立一個安全基準,像是系統管理、實體環境安全、人員作業程序、事件處理等,在一開始提供服務時,若能制定較為嚴格的安全要求,長遠來看除了能夠確實符合客戶符求之外,也比較會符合成本效益。
- 雲端服務的用戶,應該盡可能的實際到場檢查雲端服務供應商的各項安全措施,檢查項目至少要涵蓋資訊基礎設施、實體安全、營運持續管理等,但礙於雲端服務多租戶的特性,傳統的一對一的系統稽核方式可能會難以進行,因此參考第三方的獨立稽核報告,或是與其他用戶一起進行查核,會是比較可行的做法。
- 在雲端服務之中,雲端服務供應商的內部人員是一項主要的風險因子,因此在安全管理要求方面,用戶應該確認是否有專業的資安管理人員(例如持有CISSP、CISM、CCSK等證照),並且了解人員的職務運作和訓練情況,確認符合了職責分離與最小權限原則。
- 在營運持續方面,用戶應檢視合約或服務等級協議中有關營運持續的流程與要求,確認服務供應商所提供的營運持續計畫、災難復原計畫和演練記錄。如果供應商已獲得如BS 25999或ISO 22301的營運持續管理標準驗證,或是可證明其營運持續管理已遵循了以上標準,對用戶來說將會更有保障。
- 針對SaaS、PaaS、IaaS等不同的服務型式,需要了解並確認服務供應商和其本身與服務供應商的依存關係,以避免因為資安風險繼承的緣故,而導致用戶的權益受損。
[參考資料] CSA:Security Guidance for Critical Areas of Focus in Cloud Computing
沒有留言:
張貼留言