云计算安全
云端运算安全(Cloud computing security),有时也简称为“云端安全”(Cloud security),是一个演化自电脑安全、网路安全、甚至是更广泛的资讯安全的子领域,而且还在持续发展中。云端安全是指一套广泛的政策、技术、与布署的控制方法, 以用来保护资料、应用程式、与云端运算的基础设施。云端安全无法与“基于云端”(cloud-based)的安全软体(安全即服务,Security as a Service)混为一谈,后者是如商业软体厂商所提供的基于云端的防毒或弱点管理服务。[1]
与云端相关的安全议题
[编辑]与云端运算安全性有关的议题或疑虑[2]有很多,但总的来说可将其分为两大类:云端服务提供商(提供软体即服务、平台即服务、或基础设施即服务的组织)必须面对的安全议题,以及这些供应商的客户必须面对的安全议题。在大部份的情况下, 服务提供商必须确认其云端基础设施是安全的,所以客户的资料与应用程式能够被妥善地保护;另一方面,客户必须确认服务提供商已经采取了适当的措施,以保护他们的资讯安全。
云端安全的面向
[编辑]虽然云端安全议题可被分类成各种面向(Gartner 宣称有 7 大安全面向[3];Cloud Security Alliance 则指出 13 项安全疑虑[4]),但这些面向可被归结为 3 大领域[5]:安全与隐私、规范遵循、以及法律或契约议题。
安全与隐私
[编辑]为了确保资料是安全的(不能被未授权的使用者存取,或单纯地遗失),以及资料隐私是有被保护的,云端服务提供商必须致力于以下事项:[5]
资料保护
[编辑]为了妥善保护资料,来自于某一客户的资料必须被适当地与其他客户的资料隔离;资料储存在原来的地方,或是从一个地方移至其它地方,都必须确保它们的安全。云端服务提供商必须有相关的系统,以防止资料外泄或被第三方任意存取。适当的职责分权以确保稽核与与/或监控不会失效,即便是云端服务提供商中有特权的使用者也一样。
身份管理
[编辑]每一家企业都有自己用来控管运算资源与资讯存取的身份管理系统。云端服务提供商可以用联邦制或SSO技术来整合客户的身份管理系统到其基础设施上,或是提供自己的身份管理方案。
实体与个资安全
[编辑]云端服务提供商必须确保实体机器有足够的安全防护,并且当存取这些机器中所有与客户相关的资料时,不只会受到限制,而且还要留下存取的记录文件。
可用性
[编辑]云端服务提供商必须确保客户可以定期、如预期地存取他们的资料和应用程式。
应用程式安全
[编辑]云端服务提供商必须确保透过云端所提供的应用程式服务是安全的,外包或套件的程式码必须通过测试与可用性的验收程序。它还需要在正式营运环境中建立适当的应用层级安全防护 (页面存档备份,存于互联网档案馆)措施 (分散式网站应用层级防火墙)。
隐私
[编辑]最后,云端服务提供商必须确保所有敏感性资料(如信用卡号码)是被遮罩住的,并且仅允许被授权的使用者存取。此外, 包括数位凭证和身份识别,以及服务提供商在云端中针对客户活动所收集或产生的资料,都必须受到保护。但是以微软为例,微软英国分公司的常务董事Gordon Frazer在Office 365的发表会上坦承,不管位于全球任何地点的云端资料,都会因美国爱国者法案(USA PATRIOT Act)的要求而无法受到隐私保护。因为微软的公司总部位于美国,它必须符合地方法律。
规范遵循
[编辑]关于资料的储存与使用有众多的规范,包括Payment Card Industry Data Security Standard(PCI DSS)、Health Insurance Portability and Accountability Act(HIPAA)、沙宾法案等。这些规范中有许多都需要定期的回报和稽核追踨。云端服务提供商必须协助他们的客户可以适当地遵守这些规范。
商业连续性与资料复原
[编辑]云端服务提供商必须有商业连续性与资料复原计划,以确保在发生灾害或紧急情况的情况下可以继续提供服务,并且可以复原任何遗失的资料。这些计划必须和客户分享并可让客户审视。
日志与稽核追踪
[编辑]除了产生日志与稽核追踪,云端服务提供商必须与客户合作,只要客户有需要,就必须确保这些日志与稽核追踪会被适当地保全、维护,并当有法庭调查(如EDiscovery)的需要时能够取用。
独特的规范要求
[编辑]除了顺应客户的需求,由云端服务提供商负责维运的数据中心也可能要遵循规范的要求。
法律或契约议题
[编辑]除了遵从上面列举的安全和规范议题,云端服务提供商和客户依照责任来协商订定条款(例如,当有资料遗失的事件发生时该如何协商解决)、智慧财产权、与服务的终止(何时会将资料和应用程式还给客户)。
公众的记录
[编辑]法律问题可能还包括公务机关对记录保存的要求,许多中间机构必须依法使用特定的方式来保存电子记录。这些可能是由立法单位或法律要求的机构所制定的规则和惯例,公众在使用云端运算和云端储存时,都必须要考虑到这些议题。
参考资料
[编辑]- ^ Cloud-based Security Software Directory. Mosaic Security Research. (原始内容存档于2011-07-14).
- ^ "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal. 2009-12-28 [2010-01-25]. (原始内容存档于2019-08-31).
- ^ Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25]. (原始内容存档于2014-09-06).
- ^ Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04].[永久失效链接]
- ^ 5.0 5.1 Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25]. (原始内容存档于2009-11-24).