雲端運算是目前最熱門的資訊科技應用之一,透過無遠弗屆的網路連結與運算資源,讓組織可以獲得過去需要耗費大量成本才能使用的服務。不過,新科技的應用總有其風險存在,想要降低可能的安全風險,就有賴於足夠的認知和正確的應對之道。在幾年前談到雲端運算時,它還只是一個趨勢和概念,許多人對於雲端都有不同的解讀與說法,甚至有人認為它只是舊酒裝新瓶的商業炒作,會是另一個網際網路上的泡沫。但是,隨著今日Amazon、Salesforce所提供的商業應用已相當成熟,Google、Apple所提供的Google doc、iCloud等服務,更讓一般大眾都能享受到雲端科技所帶來的便利與創新,雲端應用已不再只是一項口號,而是真正地實現在我們的生活之中。
面對雲端運算和其衍生的各項創新服務,有些先知先覺的開創者已經品嘗到甜美的果實,後知後覺的採用者也因為前人的經驗累積,逐漸地跟上雲端的腳步,但也有人因為不了解雲端,只是道聽塗說而害怕可能的安全問題,一直裹足不前的結果,反正讓自己錯失了良機,同時也失去了產業競爭力,這是令人感到惋惜的地方。
當然,雲端的應用並非全然都是正面的好,站在使用者的角度,我們必須先了解雲端先天的限制與部署的架構,才能讓它的應用符合自身的需求,同時也要明瞭可能潛藏的安全風險,才能進一步有效地駕御它,使其成為營運發展的好幫手,所以接下來的一系列文章,將帶領大家來一窺雲端安全的全貌。
上一期提到了雲端運算的基礎架構,說明雲端運算的必要特徵、部署模式與服務型式,對服務提供商和使用者而言,有了一個可以共同探討的知識框架,對雲端服務應實施哪些資安控制也比較能夠達成共識,接下來將討論有關雲端治理與風險管理的重點。
安全問題普遍被認為是採用雲端服務的最大障礙,但事實上雲端並不會比現有的IT環境更加安全或不安全,所謂的安全強度是基於組織本身所能接受的風險程度,因此必須先了解雲端運算的架構,才能評估可能的風險,最後依此來決定是否採用雲端服務,或是要將何種資訊、流程或服務轉移到雲端之上。
雲端運算是目前最熱門的資訊科技應用之一,透過無遠弗屆的網路連結與運算資源,讓組織可以獲得過去需要耗費大量成本才能使用的服務。不過,新科技的應用總有其風險存在,想要降低可能的安全風險,就有賴於足夠的認知和正確的應對之道。
上一次我們談到ISO 27001中有關如何避免資安問題影響企業營運的要求,以及在發生資安事件之前,應如何建立相關的事件處理應變流程,本文將說明在標準附錄的最後一項,有關法規遵循的控制措施。
上一次我們談到了ISO 27001中有關資訊系統的安全規格要求,以及在系統開發時,如何導入適當的安全控制來降低系統的安全風險,本期將說明接下來的資安事故管理與營運持續的控制措施。
