雲端運算可無限擴展延伸的特性,已吸引了眾多組織的採納和運用,但是從資訊安全的角度來看,無論是大型的跨國企業像是Amazon和Google,或是單一國家或地區的中小型公司,包括雲端服務提供商和客戶雙方,都需要一套適合且有效的方式去管控基於雲端服務的資料和系統安全。
CLD.9.5.1 虛擬運算環境的區隔
在雲端服務的環境中,雲端服務提供商採用虛擬化技術,來達成快速且彈性的虛擬主機、應用程式、網路架構及儲存空間等服務,已是非常普遍的運作方式。
在虛擬化的環境之中,雲端服務提供商有點類似房東的角色,所有的雲端客戶是以承租戶的方式來共享資源,因此在虛擬環境的配置和資料保護方面,這項控制措施的要求,目的是為了在多重租戶的環境中,適當區隔不同的雲端服務客戶所使用的資源,並且也要和雲端服務提供商本身的管理環境相互區隔,以達成彼此互不干擾,資料不會發生意外共享的情況,保護和區分客戶所使用的虛擬環境。
CLD.9.5.2 虛擬機器的強化
同樣和虛擬化技術的運用有關,這項控制措施是要求在設置虛擬主機時,雲端服務客戶和雲端服務提供商都應該確認所採用虛擬主機的安全性,透過實施適當的技術來強化所使用的虛擬機器的安全,其重點包括了評估需要使用的通訊埠、通訊協定及啟用的服務,以及虛擬主機本身是否具備防範惡意程式的軟體,並提供相關安全性事件和系統日誌記錄等,這些都可以強化虛擬主機運作時的安全。
CLD.12.1.5 管理者的操作安全
在雲端服務的運作程序和責任方面,為了建立雲端環境中可管理的機制,降低因運作或操作失誤所帶來的風險,這項控制措施要求雲端服務客戶需要了解在雲端環境中操作失效可能造成的影響,事先以文件化方式建立關鍵的操作程序,包括了如何安裝、變更和刪除虛擬機器,一旦不使用雲端服務時的中止程序,以及資料的備份和回存方式等。
相對地,對雲端服務提供商來說,就需要因應客戶的要求,適時且充分地提供有關雲端服務的操作和作業程序文件給客戶參考使用。
CLD.12.4.5 雲端服務的監視
為了強化服務的透明性,增加服務雙方的信任,這項控制措施要求雲端服務提供商需要提供日誌存錄的功能給客戶,讓客戶有能力監控其雲端服務的運作,包括了監視和偵測雲端服務是否會作為攻擊他人的平台,或是敏感資料可能從雲端服務上外洩,這項能力同時也需要考量到在共享的雲端環境中,應限制每個客戶只能存取其自身的雲端服務資訊,並提供客戶有關服務監視功能的操作程序文件。換句話說,雲端服務客戶也應該要求雲端服務提供商,提供所需的每一個雲端服務的監視功能資訊。
CLD.13.1.4 虛擬和實體網路安全管理的一致性
針對網路管理的安全要求,考量到雲端環境中大量運作虛擬化技術來架構所提供的應用服務,這項控制措施要求雲端服務提供商應以文件化方式來定義有關虛擬網路的安全政策,並且要和實體網路的安全管理維持一致性。
這也就是說,服務提供商需要確認不管是採用了何種虛擬網路的技術,其網路組態和設定都需要與既定的資訊安全政策相符,才能有效管制雲端服務的網路安全。
將安全控制措施延伸至雲端
就個人訪談並稽核許多組織的經驗,有資訊人員相當熱烈擁抱雲端服務,但也有管理階層對於雲端服務還是一直裹足不前,事實上雲端服務本身並不是洪水猛獸,許多的安全風險不是來自於雲端服務本身,而是對於服務的不了解而無法採取適當的管理作為。
在這種情況下,參考國際標準的管理要求就是最佳的實務做法,組織可以將現有的安全控管機制,逐步地延伸到雲端之上,讓雲端運算的技術和服務成為組織的助力,所以請試著往前走,從了解標準的內容開始,作為迎向雲端未來的第一步。
<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>