今年四月,Amazon雲端服務EC2突然中斷服務長達三天,影響包括紐約時報在內全球共70多家網站,讓外界開始重新討論雲端運算服務的穩定性與安全性問題;而SONY遭駭客攻擊致使該公司的遊戲網路服務關閉服務,大量用戶個資外洩更讓SONY成為了眾矢之的,顯見雲端運算光鮮亮麗的背後,潛藏著架構與資料安全的風險還有待解決。
今年四月,Amazon雲端服務EC2突然中斷服務長達三天,影響包括紐約時報在內全球共70多家網站,讓外界開始重新討論雲端運算服務的穩定性與安全性問題;而SONY遭駭客攻擊致使該公司的遊戲網路服務PlayStation Network(PSN)關閉服務,不僅造成用戶困擾,大量用戶個資外洩更讓SONY成為了眾矢之的,顯見雲端運算光鮮亮麗的背後,潛藏著架構與資料安全的風險還有待解決。
事實上,雲端運算可說是全新的科技生態鏈,雲端運算趨勢的興起帶動了伺服器、儲存、網路甚至是應用模式的轉變,而當技術成熟並開始提供商業應用之後,隨之而來的便是管理機制需求,以及「市場在哪駭客就跟到哪」的安全風險問題,而這些議題也成為企業對採用雲端運算服務躊躇不前的主因。
然而,雖然各家廠商針對此一市場需求紛紛標榜「雲端安全」解決方案,但「雲端安全」光是從字面上來看是無法完全了解箇中玄機的。因此,我們先從雲端安全的意義進行分析與探討,來看看到底什麼是雲端安全,其能夠替企業帶來哪些好處與競爭優勢。
何謂雲端安全
 |
| ▲McAfee技術經理沈志明表示,McAfee GTI全球威脅情報中心可同時提供客戶單機版與雲端版本的各種安全過濾機制,顯見雲端運算技術在雲端安全應用中所佔的重要性。 |
從目前市場上各家廠商所推的解決方案來歸類,雲端安全可區分為三種涵義,分別是利用雲端運算技術來強化資訊安全防護能力、以雲端服務模式提供資安防護(也就是SaaS)以及保護雲端運算架構與資料的安全。
從這三種雲端安全涵義來區分,各家廠商各有相對應的部份或完整解決方案,同類產品在運作邏輯上其實相差無幾,主要的差異在於其不同的解決方案彼此之間如何搭配運作,以及廠商的市場策略方針。接下來讓我們更進一步了解這三種雲端安全的原理與市場現況。
雲端安全的基石 透過雲端技術強化安全能力
首先來看以雲端運算技術強化安全防護能力的類型。目前絕大多數資訊安全廠商都已建置此一型態的雲端安全機制,尤其以防毒軟體廠商為最,標榜透過雲端運算實驗室(或類似名詞)收集全球各地的資訊安全資料與分析,並將分析結果分送全球各地用戶的資安設備,最常見的模式即為分析之後製作特徵碼再提供資安設備進行更新。
 |
| ▲RSA台灣區資深技術顧問莊添發認為,企業應更進一步認識與接受雲端安全議題,才能掌握安全風險,進而排除障礙、解除安全疑慮。 |
當然,集中龐大的資料、專業分析與運算資源,如果只是用來作為特徵碼的製作與派送更新,未免也有些浪費,因此資安廠商們開始利用這些分析結果提供雲端版本的資安服務,像是雲端防毒軟體、雲端郵件過濾以及雲端網頁過濾等,即以雲端運算實驗室所分析出來的結果進行信譽評等,再透過這些評等進行資安風險判斷與過濾。
換言之,這種透過雲端技術強化安全運算與處理能力的模式,可說是雲端版本資安服務的重要基礎。McAfee技術經理沈志明即表示,以McAfee來說,其GTI全球威脅情報中心所提供的龐大資料庫可分析與過濾許多安全問題,同時也提供客戶單機版與雲端版本的各種安全過濾機制,顯見雲端運算技術本身在雲端安全應用當中所佔的重要性。
節省設備維運成本 雲端版資安服務滿足企業需求
誠如上述所言,許多雲端版資安服務都是利用雲端運算實驗室進行資料分析與過濾,目前較常見的雲端版資安服務即包括雲端防毒服務、雲端郵件過濾以及雲端網頁過濾,從技術架構來看,其實近似於主機代管的模式。
?
換句話說,當企業採用雲端版資安服務時,不再需要像過去那樣必須在企業內部佈署專屬伺服器來執行相關的安全機制,這些防毒主機、郵件過濾主機、網頁過濾主機,可想像為全數擺放在資安廠商的雲端上頭,由廠商來進行代管,企業僅須安裝代理程式或將網路流量導向廠商的雲端上,即可透過Web控管機制進行派送安裝與控管,對於企業來說,可節省硬體設備維運成本以及IT管理人力成本,也是雲端運算當中軟體即服務(SaaS)的根本精神。
 |
| ▲台灣賽門鐵克資深技術顧問張士龍表示,雲端運算可節省硬體維護成本、網路頻寬以及IT人力管理成本,因此一般性產業都有需求,尤其以中小企業詢問度更高。 |
台灣賽門鐵克資深技術顧問張士龍即表示,透過雲端版資安服務型態,以郵件過濾為例,即可快速過濾大量垃圾郵件,進而替企業節省網路頻寬以及IT人力與成本,也因此一般各種產業都有雲端版資安服務的需求,尤其以中小企業詢問度更高。
靠人不如靠己 保護雲端架構與資料加密
前面提到的兩者較屬於既有資訊安全機制在產品型態與運作邏輯上的改變,然而,若企業要想採用雲端服務供應商的解決方案,而服務供應商卻又無法確保系統穩定性與資料安全性時(像是Amazon服務中斷或SONY遭駭事件),企業該如何選擇?要為了雲端運算服務所能帶來的好處冒險試一試?還是保險起見先持保留態度觀察發展而暫不採用?
為了解決企業所面臨的矛盾課題,廠商開始推廣針對雲端架構與儲存在雲端上的資料進行保護的解決方案,像是保護與加密虛擬伺服器、儲存空間、應用程式、資料庫以及提供身分驗證與存取權限控管等等,讓企業以過去常見於用在本地端資料中心的保護加密方式,移轉到雲端之上,也就是讓企業自己另外再建一套「保險」,來舒緩雲端運算服務供應商所難以滿足的安全信任問題。
 |
| ▲SafeNet亞太區資深資訊安全顧問伍尚池表示,企業可自行建置雲端運算架構與資料安全防護機制,來強化雲端運算服務的安全性。 |
SafeNet亞太區資深資訊安全顧問伍尚池即認為,客戶其實無法從雲端運算服務供應商得到安全防護的保證,「仔細閱讀雲端服務供應商所提供的合約內容,不難發現在資訊安全方面大多將責任移轉到用戶身上或含糊其辭,雲端服務供應商目前大多僅能確保服務本身運作的穩定性。」
因此若企業想要採用雲端運算服務而又有安全疑慮,可評估針對雲端運算架構以及資料安全的方案,透過存取權限以及加密的方式,來強化安全防護。
評估你的雲端服務供應商
除了採用額外的安全保護機制之外,企業也可運用方法來仔細評估雲端服務供應商,以確認該服務供應商所提供的安全等級是否符合企業需求。RSA台灣區資深技術顧問莊添發即表示,企業可從服務供應商的信譽、其所提供的SLA(服務等級協議)以及廠商評估準則等面向進行多方評估。
張士龍也表示,SLA與資訊透明度,可提高客戶採用雲端服務的信心,像是服務供應商採用的是什麼樣的備援機制、符合哪些安全規範、是否提供SLA確保服務水準等,都必須讓企業掌握相關資訊,才能讓客戶更安心使用。
莊添發認為,與傳統資訊架構相比,雲端運算架構並不一定較具安全風險,「甚至有市場論點認為,雲端運算架構因為沒有資料中心傳統架構疊床架屋的包袱,反而是較為安全的。」莊添發說,事實上,無論是傳統資料中心或雲端運算架構,安全風險無所不在,與其擔憂不夠安全而不去採用,認識並重視雲端安全,才能徹底掌握可能發生的安全風險,進而排除障礙,才是更有效的方法。
觀察目前台灣市場現況,廠商們都認同,台灣在雲端運算發展進程上大多還停留在虛擬化的階段,真正採用雲端服務或自建雲端運算架構者都還在少數,也因此,對於雲端安全的認識度與接受度還不夠完整與普及。
 |
| ▲趨勢科技台灣區技術總監戴燊表示,台灣採用雲端安全解決方案的客戶並不多,主要與台灣雲端運算本身的發展速度有關。 |
趨勢科技台灣區技術總監戴燊即表示,目前台灣採用雲端安全解決方案的客戶並不多,主要與台灣雲端運算本身的發展速度有關。不過從市場發展趨勢來看,雲端運算為必然的趨勢方向,目前企業對於雲端運算的詢問度也很高,而以中小企業來看,許多可免於硬體設備維運管理的雲端服務機制,也頗受中小企業青睞。
不難看出,雖然企業目前對雲端運算服務的穩定性與安全尚有疑慮,但相信隨著技術與市場持續發展,雲端安全將能夠成為雲端運算市場的助力與驅力。