[觀點] 雲端運算安全入門(九) - 資料中心營運與事故回應處理

上一期說明了傳統的實體環境安全、營運持續計劃和災難復原，與雲端運算之間所具有的緊密關係，這些傳統的資安問題，仍然會深深地影響雲端服務的佈署與運作，接下來本期將要說明資料中心營運與資安事故的處理與因應事項。 

在雲端服務還沒有成為熱門的議題之前，資料中心就已經存在IT的運作環境之中，因為資料中心可以提供共享的資源，包括伺服主機、儲存設備等，透過集中化的方式以達到更有效率的管理。但是傳統的資料中心，通常為了滿足擴充的需求，在設計架構上會特別提供超出水準之上的資源，一旦若是閒置而未充分地利用，相對地反而耗費了許多管理與能源消耗的成本。 

隨著雲端服務的興起，資料中心的資源共享模式，正好滿足了雲端服務的主要特徵，因此資料中心的建置數量也隨之不斷地增長，以提供更多雲端服務所需要的運算資源，而且傳統閒置資源可能造成的浪費，也透過如虛擬化技術的運用，可以實施彈性且自由度高的擴充作法，以最佳化各項硬體設備與支援服務的使用。

[觀點] 雲端運算安全入門(八) - 傳統安全、營運持續與災難復原

上一篇我們說明了關於雲端服務的相互運作與可移植性，這是屬於雲端治理部分的最後一項安全領域，接下來將會解說雲端營運的部分，會牽涉到許多的技術性安全議題，這也是大多數組織較為重視的地方，和IT單位也會有更密切的關係。 

在「傳統安全、營運持續和災難復原」的安全領域中，雲端服務的用戶和供應商必須了解傳統的資安問題，在轉移到雲端服務的架構之後，是否都有對應的控制措施，一旦組織轉而採用或是由資訊單位本身提供雲端服務之後，對於資訊安全的控管與營運持續的要求為何？如何進行災難復原？就成為不得不去面對的一大問題。

[觀點] 雲端運算安全入門(七) - 雲端資料可移植性與相互運作

上一篇文章我們提到，針對資料一旦存放至雲端之後，應該要考量的資料安全風險和所需的控制措施，本期將針對雲端治理的最後一個知識領域「可移植性與相互運作」，說明一旦需要更換雲端服務供應商時，實務上要注意的建議與做法。 

隨著雲端運算服務的蓬勃發展，對組織而言，可供選擇的服務供應商也會愈來愈多，就像一般的委外服務一樣，不見得永遠都會是可合作的夥伴，在許多情況之下，我們可能會想要更換雲端服務供應商，例如：服務供應商所提供的服務，達不到企業所需的業務要求或服務水準，甚至是無端的暫停服務或服務中斷；或是合約期滿之後，服務商提高續約的服務價格，或是想要修改合約內容，造成雙方的歧見無法達成共識等。 

因此，在一開始評估選擇雲端服務供應商時，資料是否可順利移轉到其他儲存設施或同類型的服務供應商，以及服務供應商是否能夠支援資料移轉的工作，就顯得十分重要，若是等到需要處理這些資料移轉工作時，才思考到相關的配套作法，往往是緩不濟急，尤其是若在當初的合約中，並未規範相關的事項，舊有的服務供應商又不願意提供所需的支援，可能就會引起更多的問題，更別提還需要維護資料本身的安全。 

[觀點] 雲端運算安全入門(六) - 雲端資料安全防護與管理

對組織而言，雲端服務和傳統資訊服務的最大不同之處，在於資料的本身不再像以往可由組織內部的資訊人員來管理，而是完全交由外部的雲端服務供應商。雖然對於用戶來說，藉由服務供應商所提供的管理介面，仍然可以針對資料進行新增、刪除、修改等動作，但事實上這樣的控制程度是很低的，因為用戶完全不清楚資料實際位於何處，以及是否已經完整的進行備份。

[觀點] 雲端運算安全入門(五) - 雲端法規遵循與稽核建議

上次我們談到了雲端運算的法律問題與電子證據的採集提供，對大多數由第三方所提供並且跨越國界的雲端服務而言，法律議題將會是一大挑戰。

因此，為了符合法規的要求，實施稽核將是一項必要的做法，本期將探討雲端的法規遵循事項與安全稽核建議。

許多組織由於本身所處行業屬性或是國情不同，所面臨到的法規要求也有所不同，舉例來說，像是健康醫療產業和電子商務業者，雖然他們可能採用同一雲端供應商的服務，但是對於如何維持法規的符合性，其要求的重點就會有顯著的差異。一般而言，醫療業者較為著重的是個人資料的隱私維護，而電子商務業者強調的則是交易過程的資料安全，因此如何評估雲端服務供應商所能涵蓋的資安與法規要求，將會是一開始就需要協調溝通與相互理解的重點。