雲端運算安全

雲端運算安全（Cloud computing security），有時也簡稱為「雲端安全」（Cloud security），是一個演化自電腦安全、網路安全、甚至是更廣泛的資訊安全的子領域，而且還在持續發展中。雲端安全是指一套廣泛的政策、技術、與佈署的控制方法, 以用來保護資料、應用程式、與雲端運算的基礎設施。雲端安全無法與「基於雲端」（cloud-based）的安全軟體（安全即服務，Security as a Service）混為一談，後者是如商業軟體廠商所提供的基於雲端的防毒或弱點管理服務。^[1]

與雲端相關的安全議題[编辑]

與雲端運算安全性有關的議題或疑慮^[2]有很多，但總的來說可將其分為兩大類：雲端服務提供商（提供軟體即服務、平台即服務、或基礎設施即服務的組織）必須面對的安全議題，以及這些供應商的客戶必須面對的安全議題。在大部份的情況下, 服務提供商必須確認其雲端基礎設施是安全的，所以客戶的資料與應用程式能夠被妥善地保護；另一方面，客戶必須確認服務提供商已經採取了適當的措施，以保護他們的資訊安全。

雲端安全的面向[编辑]

雖然雲端安全議題可被分類成各種面向（Gartner 宣稱有 7 大安全面向^[3]；Cloud Security Alliance 則指出 13 項安全疑慮^[4]），但這些面向可被歸結為 3 大領域^[5]：安全與隱私、規範遵循、以及法律或契約議題。

安全與隱私[编辑]

為了確保資料是安全的（不能被未授權的使用者存取，或單純地遺失），以及資料隱私是有被保護的，雲端服務提供商必須致力於以下事項：^[5]

資料保護[编辑]

為了妥善保護資料，來自於某一客戶的資料必須被適當地與其他客戶的資料隔離；資料儲存在原來的地方，或是從一個地方移至其它地方，都必須確保它們的安全。雲端服務提供商必須有相關的系統，以防止資料外洩或被第三方任意存取。適當的職責分權以確保稽核與與/或監控不會失效，即便是雲端服務提供商中有特權的使用者也一樣。

身份管理[编辑]

每一家企業都有自己用來控管運算資源與資訊存取的身份管理系統（英语：Identity management system）。雲端服務提供商可以用聯邦制或SSO技術來整合客戶的身份管理系統到其基礎設施上，或是提供自己的身份管理方案。

實體與個資安全[编辑]

雲端服務提供商必須確保實體機器有足夠的安全防護，並且當存取這些機器中所有與客戶相關的資料時，不只會受到限制，而且還要留下存取的記錄文件。

可用性[编辑]

雲端服務提供商必須確保客戶可以定期、如預期地存取他們的資料和應用程式。

應用程式安全[编辑]

雲端服務提供商必須確保透過雲端所提供的應用程式服務是安全的，外包或套件的程式碼必須通過測試與可用性的驗收程序。它還需要在正式營運環境中建立適當的應用層級安全防護（页面存档备份，存于互联网档案馆）措施 (分散式網站應用層級防火牆)。

隱私[编辑]

最後，雲端服務提供商必須確保所有敏感性資料（如信用卡號碼）是被遮罩住的，並且僅允許被授權的使用者存取。此外, 包括數位憑證和身份識別，以及服務提供商在雲端中針對客戶活動所收集或產生的資料，都必須受到保護。但是以微軟為例，微軟英國分公司的常務董事Gordon Frazer在Office 365的發表會上坦承，不管位於全球任何地點的雲端資料，都會因美國愛國者法案（USA PATRIOT Act）的要求而無法受到隱私保護。因為微軟的公司總部位於美國，它必須符合地方法律。

規範遵循[编辑]

關於資料的儲存與使用有眾多的規範，包括Payment Card Industry Data Security Standard（英语：Payment Card Industry Data Security Standard）（PCI DSS）、Health Insurance Portability and Accountability Act（HIPAA）、沙賓法案等。這些規範中有許多都需要定期的回報和稽核追踨。雲端服務提供商必須協助他們的客戶可以適當地遵守這些規範。

商業連續性與資料復原[编辑]

雲端服務提供商必須有商業連續性（英语：Business continuity planning）與資料復原（英语：Data recovery）計劃，以確保在發生災害或緊急情況的情況下可以繼續提供服務，並且可以復原任何遺失的資料。這些計劃必須和客戶分享並可讓客戶審視。

日誌與稽核追蹤[编辑]

除了產生日誌與稽核追蹤，雲端服務提供商必須與客戶合作，只要客戶有需要，就必須確保這些日誌與稽核追蹤會被適當地保全、維護，並當有法庭調查（如EDiscovery（英语：EDiscovery））的需要時能夠取用。

獨特的規範要求[编辑]

除了順應客戶的需求，由雲端服務提供商負責維運的數據中心也可能要遵循規範的要求。

法律或契約議題[编辑]

除了遵從上面列舉的安全和規範議題，雲端服務提供商和客戶依照責任來協商訂定條款（例如，當有資料遺失的事件發生時該如何協商解決）、智慧財產權、與服務的終止（何時會將資料和應用程式還給客戶）。

公眾的記錄[编辑]

法律問題可能還包括公務機關對記錄保存的要求，許多中間機構必須依法使用特定的方式來保存電子記錄。這些可能是由立法單位或法律要求的機構所制定的規則和慣例，公眾在使用雲端運算和雲端儲存時，都必須要考慮到這些議題。

參考資料[编辑]

^ Cloud-based Security Software Directory. Mosaic Security Research. （原始内容存档于2011-07-14）.
^ "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal. 2009-12-28 [2010-01-25]. （原始内容存档于2019-08-31）.
^ Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25]. （原始内容存档于2014-09-06）.
^ Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04]. ^{[永久失效連結]}
^ ^5.0 ^5.1 Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25]. （原始内容存档于2009-11-24）.

外部連結[编辑]

[1] Cloud-based Security Software Directory. Mosaic Security Research. （原始内容存档于2011-07-14）.

[2] "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal. 2009-12-28 [2010-01-25]. （原始内容存档于2019-08-31）.

[3] Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25]. （原始内容存档于2014-09-06）.

[4] Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04]. ^{[永久失效連結]}

[forrester-5] 5.0 ^5.1 Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25]. （原始内容存档于2009-11-24）.

[1]

[2]

[3]

[4]

[5]