上一期提到了雲端運算的基礎架構,說明雲端運算的必要特徵、部署模式與服務型式,對服務提供商和使用者而言,有了一個可以共同探討的知識框架,對雲端服務應實施哪些資安控制也比較能夠達成共識,接下來將討論有關雲端治理與風險管理的重點。
雲端運算聯盟將雲端運算安全區分為三個部分,分別是雲端架構、雲端治理和雲端營運。在雲端架構的部分,主要針對雲端的五項必要的特徵、四種部署模式和三種服務型式做了說明,這些也可以作為在探討雲端安全時的共同基礎,在這之上來區分有關雲端服務提供商和使用者的安全責任,以及可能面臨的安全風險。
在雲端運算不同的服務型式之間,其安全風險彼此間是有相互依賴性的,舉例來說,如果有一個雲端服務廠商所提供的服務內容為軟體服務(SaaS),這項服務建置在某一個雲端開發平台之上(PaaS),而開發平台背後也採用了另一家廠商的雲端基礎架構(IaaS)服務,此時,在安全風險方面的相關問題都會是繼承的。
也就是說,這一家雲端服務提供商,除了要維護應用程式的安全性和可用性之外,同時也要確保所使用的開發工具沒有安全漏洞,而且在運作過程中要確保運算、網路、儲存設施的安全,本身就必須要負起相對較多的安全責任。而使用軟體服務的使用者,則是要在服務水準、安全控制措施、法規遵循等,也要在合約之中明確要求,以釐清相關的管理責任。
雲端運算的安全措施
從資訊安全的角度出發,一個組織的安全程度是基於其對於風險的控制程度,以ISO 27001的資安控制項目而言,包括資安組織、資安政策、資產管理、人員安全、實體安全、通訊與作業安全、存取控制及系統開發與維護等,這些與雲端運算都脫離不了關係。主要原因是雲端運算採用的仍是傳統的IT技術,需要的仍是既有的網路、運算和儲存資源,換句話說,在雲端運算中的資安管理,和傳統的IT環境並沒有什麼不同,只是因為不同的部署模式和服務模式,使用者和服務提供商所需要承擔的風險程度將會不同,因此需要妥善評估與彼此有關的營運風險。
因此,為避免雲端運算服務可能產生更多的營運風險,並且達到妥善的企業治理,組織就一定要意識到可能發生的風險議題和管理責任。這些也都牽涉到企業內部是否已設計了適當的組織結構,透過風險管理的方式與作業流程,來降低所面臨的安全風險。甚至更進一步將風險管理的作法,擴展到已實施的所有業務之中,或是提供支援服務的第三方單位,並且持續地加以監控量測改進,以達到企業治理的整體效益。
雲端治理與管理建議
根據雲端運算關鍵領域安全指南,針對雲端治理和管理方面所提供的建議,以及實務上的考量重點,簡要說明與分析如下:
1.安全費用的投資
組織除了投資在私有的基礎運算架構和資源上面,若是採用外包的雲端運算服務,必須考量到服務提供商的安全管理能力、應用程式運作環境的安全控制,以及稽核審查方式來加以評估,以確保各項的安全控管能夠滿足組織的需求。
2.資安與業務目標一致
無論採取了何種的雲端服務型式和部署模式,資訊安全的控管絕對不會只是單一方面的責任,必須透過不斷地協調溝通,配合彼此雙方的業務性質和需求,使相關的資安控制作法能夠與業務目標趨於一致,以避免採用雲端服務之後,忽略或遺漏了與業務有關的營運風險。
3.定義人員職責角色
基於不同的服務型式、人員介入與需要承擔的風險不同,對於服務角色的定義與人員的安全職責,在各自要求的服務範圍之內,必須有仔細的陳述,這也表示在問題發生時,人員可以按照既定的職責來實施對應的處理作法。例如在不同的部署模式方面,公有雲與私有雲的預期責任和要求肯定不同,最好是透過已完成的風險評估報告,來釐清使用者與供應商之間的不同要求、角色責任與期望。
4.治理架構與流程協調
組織若採用了雲端運算服務,可能會面臨不同的提供商,因此在服務的開發、設計與交付方式,也會有不同的需求與流程。因此,使用者與提供商在協同治理的架構和流程方面,可以依照彼此不同的需求,將它反映在服務等級協議(SLA)之中。在這份協議裡,記得要把安全部門納入,以評估各項的資安控制措施在雲端之中是可行的,並且將其考量與建議一併加入合約中。
5.雲端遷移安全考量
如果組織想要從舊有的IT環境一步一步跨入到雲端之中,那麼在安全方面要如何考量呢?最好的方式是依照相關標準(例如ISO 27001)來建立量測指標,然後將它文件化並留存記錄,以因應稽核時的確認需求,提供已實施控制措施的相關證明。
資訊風險管理建議
在上一期曾提到,雲端運算有一項重要特徵為「虛擬化的資源池」,它是為了支援眾多的使用者,所以將運算、儲存等相關資源集中一起,再依使用者的需求進行彈性化的調配。因此,也產生了另一個概念,稱為「多租戶(Multi-Tenancy)」模式,對雲端服務提供商而言,所提供的雲端服務將面對無數來自不同地點、不同組織、不同用戶端的使用者,他們對於安全的強化、隔離、計費、管控和服務等級、資源需求各有不同,但這些資源都來自於同一家提供商,甚至可能是同一台實體主機、同一個儲存設備,如何強化其安全性,降低可能風險,並滿足客戶需求,就成為雲端服務的另一挑戰。
由於雲端運算的隨需供應和多租戶特點,傳統所實施的資安稽核與風險評估方式可能就不太適用,或是需要進行一些調整。實施資安稽核時會牽涉到是否已在合約中註明相關的稽核權利,包括多久進行一次、稽核範圍、稽核方式、由誰來實施、需要提供哪些稽核日誌(log)等。
至於技術方面的評估,傳統的應用系統最常使用的方法就是進行弱點掃描或滲透測試,但是礙於雲端服務是同時提供給大量用戶,這些測試方法可能會影響到其他使用者的權益,因此服務提供商很可能會拒絕或限制其作法,那麼用戶就需要在合約中註明免責的條款,或是尋找替代的評估方法和符合評估需求的替代提供商。
在企業的風險管理方面,面對新型態的雲端服務,傳統的風險評鑑方法仍派得上用場,在評估組織所使用或提供的雲端服務風險時,需識別與服務有關的各項資產,找出資產本身可能具有的弱點和來自外部的潛在威脅,然後分析風險和事件發生的可能性與衝擊,再賦予其風險的等級,最後,依據組織可用的資源和經由管理階層所核准的可接受風險等級,來實施對應的風險處理計畫。
一般而言,採用相關的資安控制措施來降低風險是顯而易見的作法,但是在風險管理的過程中,需要確保使用者和服務提供商,對於風險評鑑的作法是一致的,對於發生可能性與衝擊的定義也要相同,這樣在風險評鑑的結果和後續的風險處理上,才能夠達成共識。
第三方的管理建議
站在企業風險管理的角度,無論決定採用何種雲端服務、服務型式和部署模式,在過程中,都該與組織既定的風險管理目標和業務目標一致。這也就是說,如果採用的是來自第三方所提供的服務,如果它不能滿足組織在風險管理的要求,或是採用一致的風險管理作法,組織就需要進一步評估本身是否有其他因應風險的能力。
舉例來說,如果服務提供商無法同意由使用者進行對主機的滲透測試,或許使用者可接受由提供商提出的評估報告,或是自行對資料本身實施加密等補償性的控制措施,以降低可能的資訊安全風險。
因此,在第三方的管理建議方面,安全指南提到使用者應將雲端服務和安全視為供應鏈的安全問題,這也就是說除了需要對服務提供商實施相關評估之外,對於其本身也依賴的資源供應商,也要有一定程度的了解,以避免一連串的事故連鎖反應,最後影響了自身的權益。
那麼,對於服務提供商的評估內容有哪些呢?除了要求有文件化的記錄來展現提供商如何評估自己的風險,也包括其如何控制與及時處理可能的安全問題,以及如何定義與資訊安全相關的要求。接著,使用者還需要了解服務提供商如何因應服務可能中斷的情況,這部分就包括其是否事先設想了可能導致服務失效的場景,並且提出對應的營運持續計畫(BCP)。
在營運持續計畫中至少要具體說明事故發生時的應對策略、處理流程、備援機制及災難復原計畫等內容,並且了解這些計畫是否確實可行,同時符合組織對於風險管理的要求。換句話說,營運持續計畫的測試與演練結果,將會是在選擇雲端服務提供商的重要參考依據。
最後還要提醒使用者,在選擇雲端服務提供商時,除了考量服務價格及所需成本之外,提供商在市場上的知名度、財務情況、事件處理能力、以及支援其服務的背後供應商等都會是評估的重點,也千萬不要忘記去了解提供商的溝通管道與協助窗口是否順暢。因為雲端服務的特色是不需要倚賴供應商的介入,即可調配各項運算資源,可是一旦有問題或事故發生,若找不到相關的人員來及時處理,可能就會對組織造成更多的損害。
參考資料:
CSA:Security Guidance for Critical Areas of Focus in Cloud Computing