[產業經驗] 雲端熱潮中 不可忽視的安全議題

雲端運算帶來具備可擴充性、成本效益與彈性的 IT，為組織帶來新的選擇，但是企業需先信賴雲端運算服務的安全性、措施與流程，才能真正享受到這些服務所帶來的好處。因此，企業需要廣泛的 IT 安全性，並建立受信賴的守門機制，以提供企業安全性保證、監管控制與可靠的效能。

現今有越來越多的組織選用雲端運算。分析機構認為，雲端運算具有 420 億美元的市場規模，其中單是「軟體即服務 (SaaS)」的市場，就可望在 2013 年之前成長至 160 億美元。有些組織受到雲端運算的優點吸引而主動採用，也有些組織是迫於競爭對手受益於雲端運算而選擇跟進，但有更多的組織是同時受到這兩種因素的驅使而開始考慮雲端運算。

雲端運算是目前 IT 領域中最熱門的趨勢，這股熱潮預計將繼續延燒數年。然而，雲端運算產業仍在摸索階段，除了平臺發展尚未健全，安全措施也還有待改善。IT 經理無法不重視雲端運算，但卻也無法完全相信這項技術。

信任是發展雲端第一要素

儘管企業承認雲端運算可以帶來潛在效益，但卻對於將雲端技術全面導入各種重要處理與資料上持保留立場，原因不在於雲端技術比組織現行環境安全或危險，而在於雲端技術本質上的不同之處：它必須依靠第三方的協助。

在全面採用雲端運算之前，組織要求服務供應商提供安全性的保證，確保他們的關鍵資產安全無虞。這要求原本無可厚非，但企業應當瞭解，雲端技術的安全性並不是非黑即白的是非題，他們可能得在開放與安全、控管與可用性、彈性與風險管理，以及程序與執行之間進行權衡。

組織在仰賴 SaaS 與雲端服務強化其運算、儲存及關鍵任務等應用之前，必須先瞭解組織自身的政策是否能配合雲端技術的資源，以及是否可稽核雲端政策的執行。信任的建立需仰賴服務等級協定 (SLA) 的協助，以確保可用性、可靠性與企業永續經營，組織還應堅定地要求雲端服務供應商，重視多重用戶與雲端業者存取可能造成的資料外洩問題。

當企業從使用單一雲端服務轉而選擇多位供應商的服務時，必須管理不同業者間迥異的基礎架構、營運政策與安全技術共用時可能產生的問題，因而衍生出對於信任的複雜需求，也催生了可信賴的雲端技術守門機制。

信任守門機制的真貌

信任守門機制為一種安全與信任的中介服務，提供單一、便捷的入口，通往雲端服務的世界，並藉此增加管理階層、員工及企業夥伴採用雲端型應用程式及程序的意願。這項服務改善了組織原有的安全性水準，比過去更容易達成安全上的要求。

對企業來說，信任守門機制意味著符合開放標準的應用程式介面；對雲端服務供應商這一端而言，這項服務代表可支援多種有利企業夥伴整合的介面。為了要確保雲端使用者、應用程式及資料安全的種種安全性措施，不免增加作業上的複雜度與營運成本，然而一旦擁有信任守門機制，企業與雲端服務供應商便可見證雙方免於這些阻礙。

對大多數組織而言，選擇知名可信賴的服務供應商（或「信任機制供應商」）所提供的安全與信任中介服務，是建立雲端技術安全守門機制的最佳途徑。組織在選擇信任守門機制的服務供應商時，應評估廠商在安全性保證、監管控制與穩固的效能的著墨，並統整資料，才能確保組織在各領域付出的每一分錢，都獲得應有的服務水準。

雲端入口的安全保證

信任機制供應商應以嚴格的使用者驗證及授權措施做為保證，對於高特權或高風險的使用者，以及遠端存取使用案例的挑戰，供應商則應給予額外的監控。供應商必須證明對於所有的案例，他們皆會依據企業的存取政策，拒絕未授權使用者的存取。此外，信任守門裝置可動態插入額外安全性階層，例如多重用戶驗證，雖然此動作多半需仰賴現有程序及資源，但可藉此來改善安全性。

組織應考量信任守門機制供應商是否針對筆電與智慧型手機等使用者裝置，提供信任度檢核功能。源自於惡意程式的威脅已經影響消費者多年，而近期的企業攻擊則證明，用戶端防護無法讓企業使用者裝置免受外部攻擊。因此，信任機制供應商應保護與監控使用者裝置，評估是否允許這些裝置存取機密雲端資源。

信任守門機制可針對安全性提供雲端服務供應商最佳措施，雲端技術業也因此得以整合，以取得類似信用卡 PCI 標準的雲端安全性標準。日後信任機制供應商即可要求 SaaS 與「平臺即服務」(PaaS) 供應商依循該標準取得認證，並可自行提供安全性認證服務及弱點評估服務。

監管措施協助企業重掌控制權

雖然雲端應用程式可提供比就地佈署替代方案更佳的優勢，卻可能打亂組織監管使用者、應用程式及商業程序的模式。組織應針對所有 SaaS 或雲端服務供應商作評估，確保對方所提供的安全監管程序及能力，符合資訊安全管理措施上的餘裕、成熟度以及一致性。

（作/VeriSign 認證銷售部亞太區總監 Armando Dacal）

（…未完，更多精采內容請參閱網路資訊雜誌 223 期 6 月號）