雲端運算的安全性

维基百科,自由的百科全书
跳转至: 导航搜索

雲端運算的安全性(有時也簡稱為「雲端安全」)是一個演化自電腦安全網路安全、甚至是更廣泛的資訊安全的子領域,而且還在持續發展中。雲端安全是指一套廣泛的政策、技術、與被佈署的控制方法, 以用來保護資料、應用程式、與雲端運算的基礎設施。請不要將雲端安全與「基於雲端」(cloud-based)的安全軟體(安全即服務,security as a service)混為一談,後者如商業軟體廠商所提供的基於雲端的防毒或弱點管理服務。[1]

與雲端相關的安全議題[编辑]

與雲端運算安全性有關的議題或疑慮[2]有很多,但總的來說可將其分為兩大類:雲端服務提供商(提供軟體即服務、平台即服務、或基礎設施即服務的組織)必須面對的安全議題,以及這些提供商的客戶必須面對的安全議題。在大部份的情況下, 服務提供商必須確認其雲端基礎設施是安全的,所以客戶的資料與應用程式能夠被妥善地保護;另一方面,客戶必須確認服務提供商已經採取了適當的措施,以保護他們的資訊安全。

雲端安全的面向[编辑]

雖然雲端安全議題可被分類成各種面向(Gartner 宣稱有 7 大安全面向[3];Cloud Security Alliance 則指出 13 項安全疑慮[4]),但這些面向可被歸結為 3 大領域[5]:安全與隱私、規範遵循、以及法律或契約議題。

安全與隱私[编辑]

為了確保資料是安全的(不能被未授權的使用者存取,或單純地遺失),以及資料隱私是有被保護的,雲端服務提供商必須致力於以下事項:[5]

資料保護[编辑]

為了妥善保護資料,來自於某一客戶的資料必須被適當地與其他客戶的資料隔離;資料儲存在原來的地方,或是從一個地方移至其它地方,都必須確保它們的安全。雲端服務提供商必須有相關的系統,以防止資料外洩或被第三方任意存取。適當的職責分權以確保稽核與與/或監控不會失效,即便是雲端服務提供商中有特權的使用者也一樣。

身份管理[编辑]

每一家企業都有自己用來控管運算資源與資訊存取的身份管理系統。雲端服務提供商可以用聯邦制SSO技術來整合客戶的身份管理系統到其基礎設施上,或是提供自己的身份管理方案。

實體與個資安全[编辑]

雲端服務提供商必須確保實體機器有足夠的安全防護,並且當存取這些機器中所有與客戶相關的資料時,不只會受到限制,而且還要留下存取的記錄文件。

可用性[编辑]

雲端服務提供商必須確保客戶可以定期、如預期地存取他們的資料和應用程式。

應用程式安全[编辑]

雲端服務提供商必須確保透過雲端所提供的應用程式服務是安全的,外包或套件的程式碼必須通過測試與可用性的驗收程序。它還需要在正式營運環境中建立適當的應用層級安全防護措施 (分散式網站應用層級防火牆)。

隱私[编辑]

最後,雲端服務提供商必須確保所有敏感性資料(如信用卡號碼)是被遮罩住的,並且僅允許被授權的使用者存取。此外, 包括數位憑證和身份識別,以及服務提供商在雲端中針對客戶活動所收集或產生的資料,都必須受到保護。但是以微軟為例,微軟英國分公司的常務董事Gordon Frazer在Office 365的發表會上坦承,不管位於全球任何地點的雲端資料,都會因美國愛國者法案(USA PATRIOT Act)的要求而無法受到隱私保護。因為微軟的公司總部位於美國,它必須符合地方法律。

規範遵循[编辑]

關於資料的儲存與使用有眾多的規範,包括Payment Card Industry Data Security Standard(PCI DSS)、Health Insurance Portability and Accountability Act(HIPAA)、沙賓法案等。這些規範中有許多都需要定期的回報和稽核追踨。雲端服務提供商必須協助他們的客戶可以適當地遵守這些規範。

商業連續性與資料復原[编辑]

雲端服務提供商必須有商業連續性資料復原計劃,以確保在發生災害或緊急情況的情況下可以繼續提供服務,並且可以復原任何遺失的資料。這些計劃必須和客戶分享並可讓客戶審視。

日誌與稽核追蹤[编辑]

除了產生日誌與稽核追蹤,雲端服務提供商必須與客戶合作,只要客戶有需要,就必須確保這些日誌與稽核追蹤會被適當地保全、維護,並當有法庭調查(如EDiscovery)的需要時能夠取用。

獨特的規範要求[编辑]

除了順應客戶的需求,由雲端服務提供商負責維運的數據中心也可能要遵循規範的要求。

法律或契約議題[编辑]

除了遵從上面列舉的安全和規範議題,雲端服務提供商和客戶依照責任來協商訂定條款(例如,當有資料遺失的事件發生時該如何協商解決)、智慧財產權、與服務的終止(何時會將資料和應用程式還給客戶)。

公眾的記錄[编辑]

法律問題可能還包括公務機關對記錄保存的要求,許多中間機構必須依法使用特定的方式來保存電子記錄。這些可能是由立法單位或法律要求的機構所制定的規則和慣例,公眾在使用雲端運算和雲端儲存時,都必須要考慮到這些議題。

參考資料[编辑]

  1. ^ Cloud-based Security Software Directory. Mosaic Security Research. 
  2. ^ "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal. 2009-12-28 [2010-01-25]. 
  3. ^ Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25]. 
  4. ^ Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04]. 
  5. ^ 5.0 5.1 Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25]. 

外部連結[编辑]