上一期說明了傳統的實體環境安全、營運持續計畫和災難復原,與雲端運算之間所具有的緊密關係,這些傳統的資安問題,仍然會深深地影響雲端服務的佈署與運作,接下來本期將要說明資料中心營運與資安事故的處理與因應事項。
在雲端服務還沒有成為熱門的議題之前,資料中心就已經存在IT的運作環境之中,因為資料中心可以提供共享資源,包括伺服主機、儲存設備等,透過集中化的方式以達到更有效率的管理。但是傳統的資料中心,通常為了滿足擴充的需求,在設計架構上會特別預留超出水準之上的資源,但是當閒置而未充分地利用時,卻反而會耗費了許多管理與能源消耗的成本。
評估資料中心的服務能量
隨著雲端服務的興起,資料中心的資源共享模式,正好滿足了雲端服務的主要特徵,因此資料中心的建置數量也隨之不斷地增長,以提供更多雲端服務所需要的運算資源。而且傳統閒置資源可能造成的浪費,也透過如虛擬化技術的運用,可以實施彈性且自由度高的擴充作法,以最佳化各項硬體設備與支援服務的使用。
對雲端服務用戶而言,一開始評估是否要採用雲端服務,並且選擇合適的服務供應商時,就應該將服務供應商是否有能力提供所需的運算資源、可彈性地擴充調配,並具有足夠的成本價格競爭力納入考量。同時,更重要的是在提供雲端服務的過程中,是否有足夠的能力可以因應處理可能發生的資安問題,這包括了基礎設施與技術架構的設計、符合要求的服務持續性與可用性,以及在資安事故發生時的回應速度與處理的可靠性等。
事實上,在採用雲端服務之前,就要對資料中心進行有效的評估並不容易,因為這有賴於服務供應商願意配合的程度,以及用戶本身對於基礎設施與技術架構的理解能力。用戶除了可親自到場觀察資料中心的軟硬體設備之外,將各項服務水準指標呈現在服務等級協議(SLA)之中,並且獲得供應商的確認與回覆,通常也會是比較可行的作法。
另外,透過詢問相關的服務問題,也將有助於用戶進行事前評估,例如了解供應商是否依賴第三方提供服務運作所需的資源?當用戶需要擴充運算資源時,供應商如何進行動態的調整配置?一旦所租用的資源達到上限時,供應商如何即時地將更多資源不中斷地提供給用戶?請觀察服務供應商對這些問題的回應,是否可以滿足自己的規劃與需求。
選擇資料中心的評估建議
當用戶與雲端服務供應商簽訂合約時,在資料中心的運作方面,CSA的雲端運算關鍵領域指南,提出了以下建議可作為用戶的參考:
1. 用戶必須評估服務供應商所提供的雲端運算服務,是否可滿足雲端運算的五大關鍵特徵,包括廣泛的網路存取方式、快速且彈性的架構、可量測的服務、按照需求自行調配、虛擬化的資源池等,以了解其基礎設施和技術架構,是否可達到服務等級協議的要求。
2. 了解服務供應商如何進行資源的彈性調配以及主要來源,在服務等級協議之中清楚的設定各項服務指標,確保彼此在一個可量測的基礎之上來擬定合約內容。
3. 了解服務供應商是否有持續改善或擴充資源的計畫,一旦服務供應商本身在政策、作業流程、應用工具的改變,都有可能對用戶所採用的服務造成影響,如果服務供應商承諾將會持續地優化其服務內容,這將會是服務供應商良好的市場競爭條件。
4. 由於雲端服務的多租戶特性,請評估服務供應商在提供眾多客戶相同的服務時,在系統、網路、資料、人員和管理方面,是否能夠達到有效的隔離與職責區分,以避免不同用戶之間可能產生的干擾與影響。
5. 對雲端服務供應商而言,提供技術服務的窗口或是服務台(Helpdesk),會是影響客戶觀感的重要項目,因此提供標準化的作業流程與工具,將能夠大幅提升問題處理的能力。對於用戶來說,如果服務供應商的服務支援方式與組織內部的IT服務方式相同,就能更有效地處理可能發生的事故或問題。
6. 針對營運持續的問題,用戶應了解服務供應商的營運持續與災難復原計畫,評估其進行事故處理的方式,例如如何為系統更新修補程式,是否有既定的政策與流程?是否進行演練,以驗證各項計畫的有效性等。換個角度來看,用戶也應將採用雲端服務,在服務中斷時可能造成的影響與處理方法,納入本身的營運持續管理之中。
了解資安事故監控與通報
雲端運算服務的特色與傳統IT服務有著明顯的不同,它不再只是單一服務,提供給單一用戶來使用,因此只要有一些小小的變動,都有可能影響到眾多來自不同組織的用戶,所以在資安事故處理上,更需要小心謹慎地進行,而且為了滿足不同用戶的需求,更需要建立有效的應變機制才行。
在雲端的世界裡,資安事故的發生不可能百分之一百的避免,因此一定要有對應的處理方式,尤其是雲端服務牽涉到IT基礎的設施架構、應用程式部署的平台環境,以及應用程式本身的運作,其中只有要任一環節的疏忽,都可能對雲端服務造成重大的影響,例如造成不當的資料遺失或服務中斷等,這些都需要相關的知識與專業技術才能有效地避免。