雲端運算安全

(重定向自雲端運算的安全性

雲端運算安全(Cloud computing security),有時也簡稱為「雲端安全」(Cloud security),是一個演化自電腦安全網路安全、甚至是更廣泛的資訊安全的子領域,而且還在持續發展中。雲端安全是指一套廣泛的政策、技術、與佈署的控制方法, 以用來保護資料、應用程式、與雲端運算的基礎設施。雲端安全無法與「基於雲端」(cloud-based)的安全軟體(安全即服務,Security as a Service)混為一談,後者是如商業軟體廠商所提供的基於雲端的防毒或弱點管理服務。[1]

與雲端相關的安全議題

與雲端運算安全性有關的議題或疑慮[2]有很多,但總的來說可將其分為兩大類:雲端服務提供商(提供軟體即服務平台即服務、或基礎設施即服務的組織)必須面對的安全議題,以及這些供應商的客戶必須面對的安全議題。在大部份的情況下, 服務提供商必須確認其雲端基礎設施是安全的,所以客戶的資料與應用程式能夠被妥善地保護;另一方面,客戶必須確認服務提供商已經採取了適當的措施,以保護他們的資訊安全。

雲端安全的面向

雖然雲端安全議題可被分類成各種面向(Gartner 宣稱有 7 大安全面向[3];Cloud Security Alliance 則指出 13 項安全疑慮[4]),但這些面向可被歸結為 3 大領域[5]:安全與隱私、規範遵循、以及法律或契約議題。

安全與隱私

為了確保資料是安全的(不能被未授權的使用者存取,或單純地遺失),以及資料隱私是有被保護的,雲端服務提供商必須致力於以下事項:[5]

資料保護

為了妥善保護資料,來自於某一客戶的資料必須被適當地與其他客戶的資料隔離;資料儲存在原來的地方,或是從一個地方移至其它地方,都必須確保它們的安全。雲端服務提供商必須有相關的系統,以防止資料外洩或被第三方任意存取。適當的職責分權以確保稽核與與/或監控不會失效,即便是雲端服務提供商中有特權的使用者也一樣。

身份管理

每一家企業都有自己用來控管運算資源與資訊存取的身份管理系統英语Identity management system。雲端服務提供商可以用聯邦制SSO技術來整合客戶的身份管理系統到其基礎設施上,或是提供自己的身份管理方案。

實體與個資安全

雲端服務提供商必須確保實體機器有足夠的安全防護,並且當存取這些機器中所有與客戶相關的資料時,不只會受到限制,而且還要留下存取的記錄文件。

可用性

雲端服務提供商必須確保客戶可以定期、如預期地存取他們的資料和應用程式。

應用程式安全

雲端服務提供商必須確保透過雲端所提供的應用程式服務是安全的,外包或套件的程式碼必須通過測試與可用性的驗收程序。它還需要在正式營運環境中建立適當的應用層級安全防護页面存档备份,存于互联网档案馆)措施 (分散式網站應用層級防火牆)。

隱私

最後,雲端服務提供商必須確保所有敏感性資料(如信用卡號碼)是被遮罩住的,並且僅允許被授權的使用者存取。此外, 包括數位憑證和身份識別,以及服務提供商在雲端中針對客戶活動所收集或產生的資料,都必須受到保護。但是以微軟為例,微軟英國分公司的常務董事Gordon Frazer在Office 365的發表會上坦承,不管位於全球任何地點的雲端資料,都會因美國愛國者法案(USA PATRIOT Act)的要求而無法受到隱私保護。因為微軟的公司總部位於美國,它必須符合地方法律。

規範遵循

關於資料的儲存與使用有眾多的規範,包括Payment Card Industry Data Security Standard英语Payment Card Industry Data Security Standard(PCI DSS)、Health Insurance Portability and Accountability Act(HIPAA)、沙賓法案等。這些規範中有許多都需要定期的回報和稽核追踨。雲端服務提供商必須協助他們的客戶可以適當地遵守這些規範。

商業連續性與資料復原

雲端服務提供商必須有商業連續性英语Business continuity planning資料復原英语Data recovery計劃,以確保在發生災害或緊急情況的情況下可以繼續提供服務,並且可以復原任何遺失的資料。這些計劃必須和客戶分享並可讓客戶審視。

日誌與稽核追蹤

除了產生日誌與稽核追蹤,雲端服務提供商必須與客戶合作,只要客戶有需要,就必須確保這些日誌與稽核追蹤會被適當地保全、維護,並當有法庭調查(如EDiscovery英语EDiscovery)的需要時能夠取用。

獨特的規範要求

除了順應客戶的需求,由雲端服務提供商負責維運的數據中心也可能要遵循規範的要求。

法律或契約議題

除了遵從上面列舉的安全和規範議題,雲端服務提供商和客戶依照責任來協商訂定條款(例如,當有資料遺失的事件發生時該如何協商解決)、智慧財產權、與服務的終止(何時會將資料和應用程式還給客戶)。

公眾的記錄

法律問題可能還包括公務機關對記錄保存的要求,許多中間機構必須依法使用特定的方式來保存電子記錄。這些可能是由立法單位或法律要求的機構所制定的規則和慣例,公眾在使用雲端運算和雲端儲存時,都必須要考慮到這些議題。

參考資料

  1. ^ Cloud-based Security Software Directory. Mosaic Security Research. (原始内容存档于2011-07-14). 
  2. ^ "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal. 2009-12-28 [2010-01-25]. (原始内容存档于2019-08-31). 
  3. ^ Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25]. (原始内容存档于2014-09-06). 
  4. ^ Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04]. [永久失效連結]
  5. ^ 5.0 5.1 Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25]. (原始内容存档于2009-11-24). 

外部連結