2017年2月15日 星期三

[專欄] 導入ISO/IEC 27017 擴展安全控制措施至雲端之上

雲端運算可無限擴展延伸的特性,已吸引了眾多組織的採納和運用,但是從資訊安全的角度來看,無論是大型的跨國企業像是Amazon和Google,或是單一國家或地區的中小型公司,包括雲端服務提供商和客戶雙方,都需要一套適合且有效的方式去管控基於雲端服務的資料和系統安全。 

依據2016年11月由雲端安全聯盟和EY China所聯合發表針對金融服務產業的研究報告指出,百分之47.9的金融服務組織目前正在規劃和雲端有關的策略,但也有百分之54.2的組織指出,目前內部尚未針對雲端服務的資料安全定義需要遵循的法規。另外,百分之37.5的受訪者認為目前最大的雲端威脅,來自於管理階層缺少雲端安全管理的領導力,其主要原因是管理階層對於雲端安全的規範缺少了解和重視。 

關於雲端服務的資安管理,除了可參考廣泛適用的ISO/IEC 27001標準之外,在國際標準方面,ISO/IEC 27017提供了ISO 27002與雲端相關的控制措施實施指引 ,更提供了針對雲端服務的額外安全控制措施。ISO/IEC 27017標準適用於所有類型和規模大小的組織,無論是自建的雲端服務或是透過購買所獲得的雲端服務,以及雲端服務提供商本身,皆可透過此一標準的指引,強化所提供或所使用的雲端服務的安全。 

導入ISO/IEC 27017所帶來的優勢 

根據研究調查指出,有五成的組織其實不太清楚他們所採用的雲端服務提供商,到底是如何去監控和保護其雲端上的相關資料。雲端服務某種程度上其實是一種委外關係,好的商業關係來自於所提供服務的透明性,讓兩造雙方有足夠的理解和信任,讓彼此能夠各取所需,而ISO/IEC 27017能夠幫助雙方清楚地定義雲端服務提供商和雲端服務客戶之間的責任,避免可能在服務過程中所產生的歧見,導致服務的窒礙難行。 

一般而言,藉由導入ISO/IEC 27017標準,對於雲端服務提供商和使用服務的客戶所帶來的好處包括了:
  • 增加客戶對服務的信任度:對客戶和利害關係人提供更多的保障,特別是針對資料的保護,雲端服務客戶可以要求雲端服務提供商提供安全功能及其說明,以確認是否符合使用者的安全需求與期望。
  • 強化市場的競爭力:雲端服務提供商可針對雲端服務的資料安全,展現強而有力的控制措施。 
  • 保護品牌和商譽:降低可能因為使用雲端服務發生資料外洩事件,導致對於組織商譽的傷害和品牌的影響。
  • 強化組織安全和減少風險:藉由使用雲端服務提供商所提供的安全功能,雲端服務客戶可以間接強化其系統或服務的安全性,並且確保所識別出來的風險,已經受到適當地管理,降低可能影響組織營運的衝擊。
  • 擴展業務的商機:雲端服務並沒有疆域的限制,在全球的市場,雲端服務提供商都可藉此展現標準化的資安管控機制,以滿足不同國家的雲端服務客戶需求。 

雲端服務專屬的控制措施 

ISO/IEC 27017標準除了引用37個來自於ISO/IEC 27002的控制措施,並且還額外提供了7個專門針對雲端服務的安全控制措施,以下是這些專屬控制措施的簡要說明。 

CLD.6.3.1 在雲端運算環境內共享的角色和責任 
針對內部組織的管理,ISO/IEC 27017增加了「CLD.6.3.1 在雲端運算環境內共享的角色和責任」這項控制措施,主要是為了釐清在雲端服務中,雲端服務供應商和雲端服務客戶雙方的責任。在過去,對許多採用廠商所提供服務的客戶而言,往往會認為相關的安全責任,在支付了費用之後,應該都要由廠商來處理和負責。但事實上,由於雲端服務的共享特性,對於使用雲端服務的客戶而言,自己也具有一定的安全責任。

以這項控制措施為例,對於雲端服務提供商的要求為應透過書面化的協議方式,載明在提供服務的過程和雲端中,所參與的各方之角色與責任,包括了服務提供商、服務提供商所採用的軟硬體供應商,以及使用雲端服務之客戶等。同時,如果屬於跨國提供的雲端服務,也需要主動告知客戶有關其資料可能儲存的國家或地理位置。

站在雲端服務客戶的角度來看,雲端服務其實也是內部資訊服務的延伸,所以此一控制措施要求雲端服務客戶需要評估現有的資安政策和程序是否同樣可適用於雲端服務,同時還需要了解雲端服務提供商能提供的支援和連繫方式,並且識別和提供或使用雲端服務時有關的權責機關,像是目的事業主管機關或地方政府的主管單位等。 

CLD.8.1.5 雲端服務客戶資產的移除
許多雲端服務的使用者擔心,一旦結束服務服務的合約之後,相關資料的歸屬該如何去認定?從標準的控制措施要求來看,在資產管理方面,服務提供商除了以資產清冊來載明雲端服務的客戶資料和透過雲端服務所獲取的資料外,也需要在服務協議中說明一旦合約中止時,客戶資產的返還和移除方式。相對地,雲端服務的客戶一開始也需要以文件化的方式,要求服務提供商敘述在終止服務時的作業流程,清楚了解有關資訊資產後續的處理方式。

CLD.9.5.1虛擬運算環境的區隔
在雲端服務的環境中,雲端服務提供商採用虛擬化技術,來達成快速且彈性的虛擬主機、應用程式、網路架構及儲存空間等服務,已是非常普遍的運作方式。在虛擬化的環境之中,雲端服務提供商有點類似房東的角色,所有的雲端客戶是以承租戶的方式來共享資源,因此在虛擬環境的配置和資料保護方面,這項控制措施的要求,目的是為了在多重租戶的環境中,適當區隔不同的雲端服務客戶所使用的資源,並且也要和雲端服務提供商本身的管理環境相互區隔,以達成彼此互不干擾,資料不會發生意外共享的情況,保護和區分客戶所使用的虛擬環境。 

CLD.9.5.2 虛擬機器的強化
同樣和虛擬化技術的運用有關,這項控制措施是要求在設置虛擬主機時,雲端服務客戶和雲端服務提供商都應該確認所採用虛擬主機的安全性,透過實施適當的技術來強化所使用的虛擬機器的安全,其重點包括了評估需要使用的通訊埠、通訊協定及啟用的服務,以及虛擬主機本身是否具備防範惡意程式的軟體,並提供相關安全性事件和系統日誌記錄等,這些都可以強化虛擬主機運作時的安全。 

CLD.12.1.5 管理者的操作安全 
在雲端服務的運作程序和責任方面,為了建立雲端環境中可管理的機制,降低因運作或操作失誤所帶來的風險,這項控制措施要求雲端服務客戶需要了解在雲端環境中操作失效可能造成的影響,事先以文件化方式建立關鍵的操作程序,包括了如何安裝、變更和刪除虛擬機器,一旦不使用雲端服務時的中止程序,以及資料的備份和回存方式等。相對地對雲端服務提供商來說,就需要因應客戶的要求,適時且充分的提供有關雲端服務的操作和作業程序文件給客戶參考使用。 

CLD.12.4.5 雲端服務的監視
為了強化服務的透明性,增加服務雙方的信任,這項控制措施要求雲端服務提供商需要提供日誌存錄的功能給客戶,讓客戶有能力監控其雲端服務的運作,包括了監視和偵測雲端服務是否會作為攻擊他人的平台,或是敏感資料可能從雲端服務上外洩,這項能力同時也需要考量到在共享的雲端環境中,應限制每個客戶只能存取其自身的雲端服務資訊,並提供客戶有關服務監視功能的操作程序文件。換句話說,雲端服務客戶也應該要求雲端服務提供商,提供所需的每一個雲端服務的監視功能資訊。 

CLD.13.1.4 虛擬和實體網路安全管理的一致性 
針對網路管理的安全要求,考量到雲端環境中大量運作虛擬化技術來架構所提供的應用服務,這項控制措施要求雲端服務提供商應以文件化方式來定義有關虛擬網路的安全政策,並且要和實體網路的安全管理維持一致性。這也就是說,服務提供商需要確認不管是採用了何種虛擬網路的技術,其網路組態和設定都需要與既定的資訊安全政策相符,才能有效管制雲端服務的網路安全。

將安全控制措施延伸至雲端 

就個人訪談並稽核許多組織的經驗,有資訊人員相當熱烈擁抱雲端服務,但也有管理階層對於雲端服務還是一直裹足不前,事實上雲端服務本身並不是洪水猛獸,許多的安全風險不是來自於雲端服務本身,而是對於服務的不了解而無法採取適當的管理作為。在這種情況下,參考國際標準的管理要求就是最佳的實務做法,組織可以將現有的安全控管機制,逐步地延伸到雲端之上,讓雲端運算的技術和服務成為組織的助力,所以請試著往前走,從了解標準的內容開始,作為迎向雲端未來的第一步。
(本文刊載於2017年1月號網管人雜誌)

沒有留言: