延續之前的熱潮,雲端運算(Cloud Computing)持續成為熱門的話題。之前我們看到在推廣雲端運算時可能遭遇到的問題,其中有多項議題與安全相關。在一份Gartner所發表的研究報告中,特別針對雲端運算所面臨安全上的議題做了一個完整的整理,共包含下列七項:
1. 特權使用者的管理 (Privileged User Access) - 特權使用者(如Windows的Administrator或是*nix的root)因為擁有幾乎絕對的權力,所以在使用上必須經過嚴密的管控。舉例來說,這些人員在進入公司前可能經過較為嚴格的背景調查。但是一旦將運算及資料都交付到服務供應商,這些系統的特權使用者將不再直接受公司管理,如何確保服務供應商能夠有效管理特權使用者將是一個很重要的議題。
2. 法規的遵守 (Regulatory Compliance) - 雖然公司透過服務供應商的服務執行公司營運的活動,但是遵守法規的責任仍舊屬於公司本身,而不是服務供應商。因此必須確保服務供應商的作業方式能夠符合法規要求,甚至在必要時加以稽核。
3. 資料所在的位置 (Data Location) - 這部分其實跟法規的遵守有關係,不過比較著重在有關資訊處理的隱私保護上。事實上,每個國家或地區對於隱私權的保護有不同的規範。所以如何確保資料處理能夠符合資料收集地點的法規以及資料處理時所在位置當地的法規,是一個必須絕對遵守的要求。有些隱私權保護的規範,甚至會限制資料在未經授權前不可傳送至其他的國家或地區。
4. 資料的隔離 (Data Segregation) - 因為服務供應商同時提供服務給許多客戶,各個客戶間的資料是否已被有效的隔離,以避免資料被其他客戶看到而產生資料外洩的疑慮。
5. 回復能力(Recovery) - 雖然雲端運算之一的特點就是分散式的處理,所以不會因為單一設備的問題而中斷服務。但是再怎麼強調不中斷的系統,終會有服務中斷的機會。當發生問題時,服務與資料的回復能力,也是必須加以考量的。
6. 支援調查的能力(Investigation Support) - 因為服務供應商同時提供服務給許多客戶,再加上同一個客戶的服務可能在任意地方被執行,所以如果一但有法律調查上的需求時,這些可能交互混雜的使用紀錄是否能夠有效地的被取出並加以追蹤,將可能是一個複雜的問題。
7. 永續的使用性(Long-Term Viability) - 即使雲端運算的系統可以提供長時間不中斷的服務,但是服務供應商本身卻不見得會永續經營。服務供應商可能退出市場、被併購或是客戶主動希望轉換平台,這個時候原先的資料是否能夠完整的取出甚至轉換到新的平台,就是一個很重要的議題。
這些問題除了透過SLA來規範服務供應商所應該具備的服務水準外,服務供應商更必須主動(或是被動)提出更為透明的資訊,以便讓使用者能夠完整了解服務供應商內部的管理與運作模式。當然,如果能夠有一些公正的第三方針對服務供應商作認證,我相信對使用者而言可以省下不少事情。不過我想,以目前的時機點而言,這樣的規範要產生並順利被推廣,應該是八字還沒一撇。雲端運算這樣的運作模式,對原先IT環境產生了不少本質上的衝擊,在資訊安全方面也是一樣。
原文出處:
Gartner: Seven cloud-computing security risks
Assessing the Security Risks of Cloud Computing (付費文件)
沒有留言:
張貼留言