雲端運算安全入門 3類型14大領域一網打盡

面對雲端運算和其衍生的各項創新服務,站在使用者的角度,我們必須先了解雲端先天的限制與部署的架構,才能讓它的應用符合自身的需求,同時也要明瞭可能潛藏的安全風險,才能進一步有效地駕馭它,使雲端運算成為營運發展的好幫手。本系列文章以雲端安全聯盟(CSA)於2011年11月發佈的《雲端運算關鍵領域安全指南》最新v3.0版為基礎,針對雲端運算安全議題所涵蓋的三大部份、十四個領域,逐一闡述說明,帶領讀者一窺雲端安全的全貌。

雲端的風險主要來自於三個層面,分別是網路、資料與法規,而這些風險又會充分地反映在雲的架構、治理與營運之中,同時也千萬不要忘了,目前雲端仍架構在既有的資訊技術之上,這也就是說,傳統的資訊安全問題,在雲端之上依舊會存在,仍然需要審慎處理應對,所以包括像是實體安全、網路安全、系統安全,一直到應用程式安全等,這些對應的安全控制措施都是不可缺少的。

當然,目前雲端服務仍在不斷演進與成長之中,雖然雲端運算安全指南已為我們點出了需要關切的安全問題,但是仍然有許多未知的安全風險可能產生,唯有持續並盡可能地意識到可能的風險,才有辦法去管理風險,並且將風險降到可以接受的程度。希望這一系列的文章,能夠給所有服務供應商和使用者作為參考,並且一起來共同努力,才能打造出更好的雲端運算環境,提供更加安全便利的各項雲端服務。


雲端運算安全入門(一)

了解雲端之上的安全風險

雲端運算是目前最熱門的資訊科技應用之一,透過無遠弗屆的網路連結與運算資源,讓組織可以獲得過去需要耗費大量成本才能使用的服務。不過,新科技的應用總有其風險存在,想要降低可能的安全風險,就有賴於足夠的認知和正確的應對之道。


雲端運算安全入門(二)

認識雲端運算架構與框架

安全問題普遍被認為是採用雲端服務的最大障礙,但事實上雲端並不會比現有的IT環境更加安全或不安全,所謂的安全強度是基於組織本身所能接受的風險程度, 因此必須先了解雲端運算的架構,才能評估可能的風險,最後依此來決定是否採用雲端服務,或是要將何種資訊、流程或服務轉移到雲端之上。


雲端運算安全入門(三)

雲端治理與風險管理

上一期提到了雲端運算的基礎架構,說明雲端運算的必要特徵、部署模式與服務型式,對服務提供商和使用者而言,有了一個可以共同探討的知識框架,對雲端服務應實施哪些資安控制也比較能夠達成共識,接下來將討論有關雲端治理與風險管理的重點。


雲端運算安全入門(四)

法律問題與電子證據蒐集

上一次談到了雲端運算與組織的經營治理,也就是高階管理階層對於雲端安全問題應有的認知,以及因應雲端部署和第三方的管理建議,本期將探討和雲端運算有關的法律問題與證據蒐集,以及用戶和服務供應商如何因應安全事件的調查。


雲端運算安全入門(五)

雲端法規遵循與稽核建議

上一期我們談到了雲端運算的法律問題與電子證據的採集提供,對大多數由第三方所提供並且跨越國界的雲端服務而言,法律議題將會是一大挑戰。因此,為了符合法規的要求,實施稽核將是一項必要的做法,本期將探討雲端的法規遵循事項與安全稽核建議。


雲端運算安全入門(六)

雲端資料安全防護與管理

在雲端之上想要探討可能的安全風險,最好的切入點是從找出和雲端有關的資產著手,再來分析它可能面臨的威脅和本身所具有的弱點。其中,有一項無法忽略的資產,就是與雲端服務有關的資料,本期將探討雲端服務與資料安全的重要性。


雲端運算安全入門(七)

雲端資料可移植性與相互運作

上期提到針對資料一旦存放至雲端之後,應該要考量的資料安全風險和所需的控制措施,本期將針對雲端治理的最後一個知識領域「可移植性與相互運作」,說明一旦需要更換雲端服務供應商時,實務上要注意的建議與做法。


雲端運算安全入門(八)

傳統安全、營運持續和災難復原的規劃與防禦

上一期我們說明了關於雲端服務的相互運作與可移植性,這是屬於雲端治理部分的最後一項安全領域,接下來將解說雲端營運的部分,會牽涉到許多的技術性安全議題,這也是大多數組織較為重視的地方,和IT單位也會有更密切的關係。


雲端運算安全入門(九)

資料中心營運與事故回應處理

上一期說明了傳統的實體環境安全、營運持續計畫和災難復原,與雲端運算之間所具有的緊密關係,這些傳統的資安問題,仍然會深深地影響雲端服務的佈署與運作,接下來本期將要說明資料中心營運與資安事故的處理與因應事項。


雲端運算安全入門(十)

雲端上的應用程式安全

上一期說明了資料中心的營運重點,包括如何更有效率地管理與因應雲端服務所衍生的彈性化需求,也提到了必須要求服務供應商在發生資安事故時進行通報,並依照事前所擬定的應變流程進行處理,同時也要保留相關的記錄作為事故檢討,本期將探討在雲端之上的應用程式安全。


雲端運算安全入門(十一)

雲端資料加密與金鑰管理

上一期談到了雲端環境對應用程式部署的影響,我們需要考量資料控制、資源共享和法規問題所可能帶來的風險,更應確保一開始在軟體開發生命週期中,已將安全問題納入成為檢測的重點之一,本期將探討雲端資料加密與金鑰管理。


雲端運算安全入門(十二)

雲端身分驗證與存取管理

上一期我們談到了雲端資料加密與金鑰管理的部署重點,需要考量資料所在的位置及傳輸方式,作為選擇對應加密措施的基礎。至於在金鑰的管控方面,針對生命週期中的各個階段,金鑰本身同樣也需要實施適當的保護與備援機制,本期將說明有關雲端身分驗證與存取管理的重點。


雲端運算安全入門(十三‧終)

虛擬化安全與雲端資安服務

上一次探討了雲端服務的身分驗證,提到目前許多雲端服務綁定的都是使用者的帳號,如果沒有實施強健的安全機制,一旦帳號被挾持,就會產生嚴重的安全問題,本期將說明此系列文章的最後一個單元,說明雲端運算採用虛擬化技術的安全風險和透過雲端所提供的安全服務。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!