上一期我們說明了在雲端控制矩陣之中,有關發行安全管理和災難回復能力之要求,本期將說明有關雲端安全控制要求的最後一項——安全架構之內容。
在雲端控制矩陣中的第十一項是針對安全架構的要求,希望藉由強化底層的網路基礎設施與應用程式,以減少營運時可能面臨的安全風險。以下將說明安全架構中的15個控制措施,以及可對應參考的ISO 27001標準與實務建議。
SA-01 客戶存取之要求
這項控制措施是要求在賦予客戶存取資料、系統、資產之前,所有已識別出與存取有關的安全、合約、法規之要求,應該被處理和達成。
在ISO 27001標準附錄「A.6.1.2 資訊安全協調工作」中提到,組織之中的資訊安全,不會只是單一部門的工作,除了資訊單位之外,可能也需要人力資源、總務、行政、業務、稽核、法務等部門人員的參與,才能達成組織所設定資訊安全的目標,所以資訊安全的相關活動,需要由不同部門的代表協調,才能順利地執行。
此外,「A.6.2.2 處理客戶事務的安全說明」也要求,在賦予客戶存取組織資訊的權限之前,應考量到各項資訊安全要求,例如對於提供服務的內容描述,以及客戶應有的安全責任與要求等。
SA-02 使用者身分憑證
這項控制措施要求組織所提供的雲端服務,對於應用程式、資料庫、伺服器及網路的使用者身分憑證與密碼管理,需要滿足以下的最低要求:
1. 在密碼重設之前,進行使用者身分確認。
2. 如果密碼是由非使用者重設(如系統管理員),在第一次使用時必須要求使用者立即更改。
3. 對終止職務的使用者,應及時地取消其存取權限。
4.至少每90天移除及停用閒置的使用者帳號。
5. 應採取唯一的使用者識別帳戶,禁止帳號密碼的共享使用。
6. 密碼過期週期為90天。
7. 密碼最小長度不得低於7碼。
8. 應使用混合數字與符號的強健密碼。
9. 重新設定密碼時,不得與最近4次使用過的相同。
10. 密碼經重試6次錯誤之後,即鎖定帳號。
11. 帳號鎖定最少期間為30分鐘,或是直到管理者解鎖為止。
12. 使用者閒置15分鐘之後,應要求必須重新輸入密碼才可繼續使用。
13. 特權使者者的存取與活動記錄必須被保存。
有關使用者身分管理之要求,還可以參考ISO 27001附錄「A.11.2.3 使用者密碼管理」,要求使用者密碼的配置,需要有正式的管理流程來進行控制,也就是說在配置的過程中必須實施所需的安全要求。
SA-03 資料安全
這項控制措施是要求組織的資料在不同系統、途徑及第三方的交換過程中,必須建立確保資料安全與完整性的政策和程序,以便遵守法律法規與合約的要求,同時避免資料受到不當的揭露、竄改與銷毀。
對此,可以參考ISO 27001附錄「A.10.8.1 資訊交換政策和程序」,要求組織的資訊交換,都需要依照所定義的管道和方式來進行。為了確保資料安全,也可依照「A.12.5.4 資料外洩」之要求,在系統上線前進行系統掃描,確認是否有不當的訊息外送或開放的傳輸埠,另外也要監測系統資源的使用與網路活動,以防範資料洩漏的事件發生。
SA-04 應用程式安全
這項控制措施是要求應用程式需依照業界認可的安全標準如OWASP來進行開發,並且合乎適用的法規與商業要求。
針對應用程式安全,在ISO 27001附錄「A.12.6.1技術脆弱性控制」中提到,因為資訊系統本身並非十全十美,也就需要定期或及時地加以修補,這項控制措施要求組織應及時取得與弱點有關的資訊,並採取對應的行動來降低因已被公布的安全弱點,而遭受到不必要的攻擊。
SA-05 資料完整性
這項控制措施是針對資料的輸入與輸出,對應用程式介面和資料庫實施完整性檢查,以避免資料受到手動或系統執行錯誤所造成的問題。
對此,可參照「A.12.2.1 輸入資料確認」之要求,針對所輸入的資料,在內容上面可加以限制,例如價格欄位只允許輸入數字、身分證字號只允許輸入10個字元等,透過對於數值的範圍、資料完整性、資料量及有效字元等的偵測,可避免像是資料隱碼(SQL Injection)或緩衝區溢位(Buffer Overflow)等常見的攻擊。
SA-06 生產與非生產環境
這項控制措施是要求生產與非生產的環境應被區隔,以保護資產不會受到未經授權的存取與變更。在實施方面,可參照ISO 27001附錄「A.10.1.4 開發、測試與運作環境的區隔」,要求組織針對應用程式的開發,勢必要備妥開發流程、測試和上線運作的程序文件。同時,所使用的資訊軟硬體設備,也要加以適當的區隔,不可在同一個環境上進行,也不將資訊存放在相同的儲存媒體中。