本週協助講授雲端服務資安管理主導稽核員的訓練課程,有學員詢問:「如果想要導入和驗證雲端服務的標準,那要如何確認自己是什麼樣的雲服務和適用哪一個國際標準?」
這是一個好問題,基本上,許多有興趣導入和實施雲標準的組織,最常見的情況就是不太清楚自己是真正的雲服務,還是只是傳統的網站服務,也不太知道自己是哪一種服務型式。
幸好,在雲端服務發展的初期,美國國家標準和技術研究院 (NIST) 就提出了雲端運算的定義 (NIST 800-145),我個人喜歡把它稱之為「雲端運算的543」,組織可以利用它來評估自己是否有應用了雲端運算,而且是提供哪一類型的雲端服務。
Source: CSA Security Guidance
雲端標準導入第一步- 先確認自己是不是雲
關於雲端運算的543,其中5個基本特徵指的是:
- 廣泛的網路存取 (Broad network access):所提供的服務支援各種用戶端設備,包括但不限於手機、筆記型電腦、平板電腦等,基本上只要此設備上面有瀏覽器,就可以透過網路來存取雲端服務。
- 快速且彈性的運作 (Rapid elasticity):雲端服務的功能或資源可以快速且彈性的配置和調整,以租用IaaS的虛擬機器(VM)為例,租用雲端服務的顧客,可以依需求調整VM的數量,快速從10台擴展至50台,或是從50台減少至10台;若是SaaS的儲存服務,同樣也可以快速取得更多的儲存空間。在服務過程中,除了可自由手動配置之外,還可透過相關技術 (ex. API) 進行自動調整,如果口袋夠深,就可以實現在非常短時間內,獲得難以想像的運算能力,這是傳統IT架構比較難以達成的地方。
- 可量測的服務 (Measured service):雲端服務是一種租賃的服務,雲端服務顧客(Cloud Service Customer, CSC)可以透過網路取得雲端服務提供者(Cloud Service Provider, CSP)所提供的各項運算資源 (例如:儲存、運算、頻寬、線上應用服務的帳戶等),通常可採用按次付費或按使用資源收費的方式。所以對雲端服務提供者而言,就必須提供透明化的方式,並且有能力可以監控、控制和提供報表,讓雲端服務顧客可以清楚掌握目前資源使用的情況,以及需要付出的費用。
- 隨需的自助化服務 (On-demand self-service):雲端服務可以讓顧客就像吃自助餐一樣,依照自己的喜好和需求來配置雲端運算的能力和資源,不需要透過雲端服務提供者的人工介入,包括申請、使用、配置功能和資源,都可以透過業者的雲端服務入口網站來達成。
- 資源池的調配 (Resource pooling):由於雲端服務提供給為數眾多的顧客來使用,所以會形成一種共用資源的多租戶模式 (multi-tenant model),為了要達成上面提到的快速且彈性的擴充和運作,對於雲端服務提供者來說,就必須要有能力匯整和調配包括實體和虛擬化的資源 (例如處理器、記憶體、儲存空間及網路頻寬),快速地提供給需要的顧客,或是由不使用的顧客端進行回收。這些資源池可能位於世界各地,讓租用服務的顧客可以快速取用,業者也可順利的回收匯整。
對有意導入和驗證雲標準的組織,第一步就是要確認自己提供或使用的服務,是否運用了雲端運算,能夠符合雲端服務的5個基本特徵。
舉例來說,如果組織提供的服務是一個官方網站,它使用了一台實體的主機 (Windows Server + IIS),放在自己的機房,設定開放對外的網路 (TCP 80, 443 port),提供了組織簡介和產品資訊等內容,也開放給使用者可加入網站會員,申請帳號並利用它來登入網站使用電子報的訂閱和取消功能。
雖然它可滿足了一項雲端運算的特徵 (廣泛的網路存取),但在其他4項特徵方面如果都沒有相關的功能和機制,只能說它其實還是傳統的網站服務,並不是所謂的雲端服務,也不太適用雲端服務的標準。
當然,目前NIST並沒有定義雲端服務需要完全滿足以上5個特徵,但若只是符合其中一項或二項,然後就認為自己是雲端服務的提供者,那實在是有點牽強。既然本質上不是雲端服務,又要強求去實施雲端服務相關的控制措施,恐怕很多的控制措施都很難展現和達成,也是浪費了組織的時間和人力成本。
但是,官方網站真的不能適用和驗證雲端服務的標準嗎?
有一種情況是可以實現的,就是組織同樣提供官網和會員的網站服務,但不是放在自家建置的環境,而是租用了其他業者的雲端服務,例如跟AWS, Azure, GCP租用虛擬主機,在上面運行所提供的網站服務。
這時候,藉由租用符合雲端運算5個基本特徵的雲端服務提供者的資源,就可以對外宣稱自己的網站服務是運用了雲端運算的服務,只不過組織的角色,並不會因此就直接變成雲端服務提供者,組織本身其實是雲端服務顧客的角色。
如果組織的目的是為了強化內部使用雲端服務的資訊安全,那就可以導入和驗證適用顧客的雲端標準 (ISO 27017) 了。
雲端標準導入第二步- 提供什麼類型的雲服務
關於雲端運算的543,剩下的4和3指的是:
- 4種部署模式:公有雲 (開放給大眾使用)、私有雲 (限單一組織使用)、社群雲 (具有共同目標的族群)、混合雲 (使用兩種以上部署模式)
- 3種服務型式: SaaS 軟體即服務 (ex. M365, Dropbox)、PaaS 平台即服務 (ex. 開發環境或容器運作平台)、IaaS 基礎設施即服務 (ex. VM)
若是確認了自己的服務已具備雲端運算的基本特徵,接下來請問問自己,採用的部署模式是什麼?所提供的是哪一類型的雲服務。
雲端標準導入第三步- 釐清自己的角色
如果您的組織和Microsoft、Google、Amazon一樣,提供各式各樣的雲服務給大家使用,並且滿足雲端服務的5大特徵,您就是「雲端服務提供者 (Cloud Service Provider, CSP)」。
如果您的組織單純只是使用現有的雲服務,例如:M365, GCP, AWS EC2等,那您就是「雲端服務顧客 (Cloud Service Customer, CSC)」。
如果您的組織像是儲存服務的業者Dropbox,在底層的儲存空間租用了AWS S3服務 (IaaS),並且利用它來打造成為自己的檔案儲存應用服務 (SaaS),此應用服務也藉由自己提供的機制符合了雲端運算的五大特徵,那麼您就是同時兼具了雲端服務顧客 (面對AWS),同時也是雲端服務提供者 (面對Dropbox顧客)的角色。
最後,如果您已完全清楚了以上三件事,下一篇文章將告訴您如何選擇適用的雲端服務國際標準。
.png)
沒有留言:
張貼留言