雲端運算資訊安全
以往,在辦公室環境中,電腦主機多半都團結在一起,也就是傳統的資訊架構,所有IT相關的軟硬體設備與人員(如伺服器、儲存設備、程式開發人員等),都在可掌握的公司環境內。
所以,無論要執行安全管控或事後稽核,皆非難事。
可是,當一切資料要放上雲端後,資料的儲存與運算處理,可能分散在雲端各個角落,安全控管與維護將變得更不容易。
雲端運算會有哪些資訊安全問題?
雲端安全聯盟(Cloud Security Alliance)在2010年3月發布的《Top Threats to Cloud Computing V1.0》報告中指出,雲端運算正面臨7大安全威脅,其中,除了第1點比較針對雲端服務供應商來探討外,其餘6點皆是使用者應注意的安全威脅,提供給準備朝雲端發展的企業參考。
1、不安全的介面與應用程式介面(APIs)
雲端服務供應商提供可以網路登入的介面,以便使用者操作雲端服務,因此,這些介面的安全性,與雲端服務的安全性與可用性息息相關。
如果雲端平台提供第3方供應商的加值服務,則這些服務的使用介面,也可能會增加原本應用程式介面的複雜性及風險,企業必須一併加以考量。
2、惡意的內部員工
此處指的是雲端服務供應商的內部員工,他們是最有機會接觸企業資料的人,但是企業卻不知道他們如何被規範,也許連招聘的條件與方式都不清楚,這些未知都是1種潛在威脅,畢竟「人」是作業環節中最難管控的部分,再加上雲端平台又最容易接觸到各企業的資料,所以內部員工竊取資料的風險相對高於一般企業組織。因此,企業擁抱雲端的第1步,就是瞭解雲端服務供應商對其內部員工的管控規範原則,以降低潛在未知的安全風險。
3、共享環境所造成的議題
採用雲端運算之所以能降低成本,關鍵在於善用資源,使用者看似擁有獨立運算環境和資料儲存空間,實際上卻是與他人共用1台主機,只不過透過虛擬化技術,在實體環境上產生多個虛擬空間,此時,雲端服務供應商如何儲存及保護客戶的資料?
不同企業平台能否有效隔離、避免彼此存取對方資源?
這些都是雲端運算安全的重大挑戰。
4、資料遺失或外洩
資料遺失或外洩的方法有很多種,例如:在沒有備份的情況下刪除或修改資料、遺失加密金鑰導致資料被破壞等,對企業來說,資料遺失或外洩所造成的影響,絕對不是只有金錢損失而已,還包括商譽受損、客戶不信任等無形衝擊,而雲端環境受到平台架構與運作特性影響,不僅風險愈來愈高,資料外洩的威脅也隨之攀升,使用者必須評估雲端供應商的驗證、授權和稽核控制措施是否完善,加密技術合法性、資料刪除方式是否安全、災難復原能力等,才能降低在雲端遺失或洩露資料的風險。
5、帳號或服務被竊取
駭客竊取使用者帳號並非新議題,攻擊方法不外乎釣魚、詐欺及利用軟體漏洞,但在雲端環境裡,這類問題所造成的衝擊更大。
因為在傳統IT環境下,使用者擁有硬體控制權,可透過一些補救措施,降低帳號或服務被竊的損失;但在雲端環境中,使用者沒有控制權,可能也無法執行補救措施,甚至還必須設法證明自身為帳號或服務的合法使用者,否則駭客很可能完全取代原先使用者的身分。
6、其他未知的風險
目前市場上在談論雲端應用時,普遍強調其特性、效益與功能,但更深1層的資訊卻往往不太清楚。
例如:雲端供應商內部安全流程、平台架構、修補程式、稽核制度、Log紀錄、如何儲存客戶資料、誰有存取權利等,諸如此類的問題,其實都沒有清楚的答案,也沒有公開的監督機制,偏偏這些資訊是用以評估雲端平台安全程度的要素,倘若沒有這些資訊,企業也無法有效評估雲端安全風險。
7、稽核與蒐證
在傳統IT架構下,企業要進行內部稽核與電腦搜證已相當不容易,因為步驟繁瑣,且牽涉層面廣,而當資訊架構雲端化後,企業要執行稽核與搜證作業會變得更加困難,關鍵點在於如何獲得有用且有效的資料,尤其當遇到法律爭議時,如果雲端服務供應商沒有相對應的機制,企業該如何證明資料的有效性與合法性,這是企業必須審慎思考的課題。
雲端運算資訊安全7大威脅
http://cloudcomputingtrend.blogspot.com/2012/10/7-cloud-computing-security-threats.html
發表文章
