如果想了解雲端服務供應商的安全水準,藉由雲端安全聯盟所提出的雲端開放認證架構,可以作為在選擇服務廠商時的參考。因此,對於廠商而言,確實了解雲端控制矩陣的要求,並且回應已實施的安全控制措施,就顯得十分重要。
這裡所提到的資訊系統的元件,可能包括了資料、物件、應用程式、基礎設施和硬體等,每個元件都可能會被分配到其適用的法律和管轄權,以便與法規進行對照。在實務做法上,建議雲端服務供應商可以在服務描述中,說明本身所適用的法令和所屬的管轄區域,並且定期審查是否有新的法令或更新的要求。
在ISO 27001標準方面,則可參照包括:「A.15.1.1識別適用的法條」,將適用的法律識別出來,並在內部的管理程序中,清楚明訂其要求;「A.15.1.3組織記錄的保護」,評估究竟有哪些記錄需要留存,需要採取什麼樣的安全措施,考量如何記錄、存在地點、存放型式、加密方式和存取權限等;「A.15.1.4個人資訊的資料保護與隱私」,依照個資法對於個資蒐集、處理和利用的要求,在作業辦法中加入符合法律的措施;「A.15.1.6加密控制措施的規定」,確認在資料保護上所使用的加密機制,已遵守當地國家法令的要求,並了解這些可實施加密的設備,是否會有進出口的限制。
CO-06 智慧財產權
為了保護智慧財產權,這個控制措施要求必須建立和實施相關的政策、流程和程序,並且透過法律管轄權和合約限制,以保障組織專有軟體的使用。在實務方面, 可宣導並要求所有員工必須遵守智慧財產權法,同時確認所有的軟體均有合法的授權。
依據ISO 27001標準,則可參照「A.15.1.2智慧財產權」要求組織必須確保所使用的資料和軟體,不會涉及違反智慧財產權的法律要求,並建立適切的管理程序。
舉例來說,組織可在管理程序中明訂購置軟體的方式和原則,說明為尊重智慧財產權,內部一律使用合法授權的軟體,並嚴禁非法下載音樂、影片和未授權的軟體,同時也為合法軟體建立一份軟體清單,並且定期清查以避免違法的情事發生。
資料治理之控制措施
雲端控制矩陣的第二項控制區域,主要是針對雲端服務供應商所擁有的資料,要求建立相關的政策和作業程序,以確保雲端資料的安全,在此一共有8個控制措施,分別說明如下。
DG-01 擁有權和管理職責
這個控制措施是要求所有的資料都應該被指派定義、記錄和溝通其管理職責。在實務上,最簡單的做法就是建立一份資訊資產清冊,註明資料所在的位置、安全等級和擁有者,然後定期的重新檢查更新。
雲端服務供應商也可參照ISO 27001標準中包括:「A.6.1.3資訊安全責任的配置」,由管理階層指定各部門主管和個人的安全責任,並且界定各項資產的保護與作業流程;「A.7.1.2 資產的擁有權」,在資產清冊中為每筆資訊資產指定其擁有者,這裡所謂的擁有者,並不是指對於資產本身擁有財產權,而是指實際上能夠控制資產的處理、發展、使用和安全,也就是對資產負有管理職責的個人或部門。
DG-02 分級分類
這個控制措施是要求針對資料本身和物件中所包含的資料,應基於資料類型、司法管轄權、所在地法律、合約要求、價值、對組織的敏感性和重要性,以及第三方對於資料的保存與防止未經授權的揭露責任,指定其安全等級。
在實務方面,雲端服務供應商可以自行定義其資料分級分類的做法,或是參照ISO 27001標準「A.7.2.1 分類指引」,將資料依照其對組織的價值、法律要求、敏感性和重要性進行分類,但是,建議資訊的分類不宜過多,以避免太過複雜而造成各業務單位實施的困擾。
DG-03 處理/標示/安全政策
這個控制措施是要求針對資料本身和物件中所包含的資料,應建立標示、處理和安全的政策和程序,必須對於保有資料的容器實施標示的繼承機制。建議實務做法為進行資料分級和標示,撰寫所需的安全指引手冊,或是參照ISO 27001「A.7.2.2 資訊標示和處理」,發展和定義組織的資訊處理標示和分類方法,例如在文件上面可標示其所屬的機密等級,或是標示在電子資料的meta-data之中。
DG-04 保留政策
這個控制措施是要求應建立資料保留和儲存的政策和程序,並且實施備份和備援機制,以確保符合管理、法律、合約或業務的要求,針對備份還原的測試,也必須依所規劃的時間來實施。
在實務方面,除了建立備份政策和程序之外,雲端服務供應商可採取異地備援和持續同步備份等方式,以確保所儲存的資料安全,也可參照ISO 27001標準「A.10.5.1 資訊備份」,針對資料本身不同的屬性,定義出不同的備份方式如完整備份、增量備份、差異備份等,並且考量實施備份的頻率,像是每年、每月、每週、每日等,以確保資料擁有多重的防護。
DG-05 安全處置
這個控制措施是要求為達成安全處置和徹底移除儲存媒體中曾存放的資料,必須建立相關的政策、程序和做法,確保資料不會被以其他方式復原回來。在實務方面,對於不再使用的儲存媒體,可採取實體破壞方式,使其不可能被還原回來,處置的過程也要妥善地加以記錄保存。
至於需要再使用的儲存媒體,則可參照ISO 27001標準「A.9.2.6 設備安全的處置和再利用」,要求資訊處理設備在轉移給其他單位或重新交由其他人使用時,具有版權的軟體需要重新整理移除,所儲存的資料也要一併清除;針對需要進行報廢的設備,則依據「A.10.7.2 媒體的報廢」要求,需要依照一定的安全程序進行報廢,以確保資料不會被復原。
DG-06 非生產環境資料
這個控制措施是要求生產環境中的資料不應被同步複製或使用在非生產環境之中,實務方面建議應嚴格禁止非公開的客戶資料,從生產環境中移到非生產區域,除非是已獲得客戶同意或在法務部門指導下才可進行。
針對應用程式的開發,則可參照ISO 27001標準「A.10.1.4 開發、測試與運作環境的區隔」,備妥開發流程、測試和上線運作的程序文件,同時,所使用的資訊軟硬體設備,也要加以適當的區隔,不將資訊存放在相同的儲存媒體中;若要進行測試,則依據「A.12.4.2 系統測試資料的保護」要求,在測試時注意所使用的資料是否已經過授權取得,剔除或替代資料中敏感性的內容,並在測試完成之後,徹底將資料從系統中清除。
DG-07 資訊洩漏
這個控制措施是要求必須實施安全做法以避免資訊外洩,實務上可採取嚴格的身分驗證與授權(IAM),以及導入防範資料外洩方案(DLP)來進行,針對資訊系統本身,則可參照ISO 27001標準「A.12.5.4 資料外洩」的要求,在系統上線前進行系統掃描,確認是否有不當的訊息外送或開放的傳輸埠,另外也要監測系統資源的使用與網路活動,以防範資料洩漏的事件發生。
DG-08 風險評鑑
此控制措施要求風險評鑑必須配合資料治理的要求來定期實施,包括針對敏感資料儲存與傳輸的教育訓練、遵守所定義的資料保留期限和處置要求,以及針對資料分級分類以防止受到未經授權的存取和遺失損毀等。實務方面,建議參照ISO 27001標準本文中「4.2.1(c)界定組織的風險評鑑做法、(d)識別各項風險」之要求來進行,以及「4.2.3(d)依照已規劃的期間,審查風險評鑑的結果,並且審查剩餘風險的等級與已識別的可接受風險」。
<作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>