就連絕對可以從雲端熱潮中大獲收益的網路設備廠商,也同意這個見解。思科執行長錢伯斯在該論壇的另一場演說中承認,雲端運算服務的安全問題仍待解決。他指出,雲端運算是大勢所趨,對思科來說更是無比商機,不過雲端運算卻會徹底改變網路安全的現況,企業無法充分掌握其數據資料,「這是資訊安全的惡夢,而且舊有的方法無法解決。」
|
▲雖然「雲端」一詞給人明朗安心的感覺,但其實背後仍隱藏著許多有賴業界共同解決的安全問題。(Photo: thera) |
市場調查機構Forrester在五月中旬最新發表的研究報告中建議,相較於傳統的IT委外模式,企業必須對雲端運算的安全性格外注意。
Forrester分析師Chenxi Wang指出,在傳統的委外模式中,用戶將伺服器設置在服務供應商的資料中心或代管的專屬設備上,因此很清楚資料運作的來龍去脈。但是如今,雲端運算把資料從基礎建設中抽離出來,同時也掩蓋了低階運作的細節,例如用戶的資料是如何被複製轉送以及存放在何處。
傳統的IT委外中相當少見的多重用戶(Multi-tenancy)模式,現在卻幾乎是雲端運算的主流規則。在多重用戶共享雲端服務資源的情況下,以往用於IT委外的安全性與隱私作法都不見得能持續適用,不僅影響到風險管理實務作業,更必須重新評估相關的法規遵循、稽核與數位鑑識議題。
Forrester這份名為《How secure is your cloud》的研究報告建議,企業必須考慮諸如資料保護、身份識別管理、安全漏洞管理、實體與人員安全、應用程式安全、事件反應與隱私保障措施等課題。例如,雲端服務的客戶應該要求了解供應商如何保護靜止與移動狀態下的資料安全、業者提供給稽核單位的說明文件、加密機制、身份識別與存取控管程序,以及供應商是否有適當的資料隔離與外洩防範措施等。
除了安全性之外,如何釐清雲端運算服務業者的責任承擔,也是有待解決的問題。Chenxi Wang建議,雲端運算的客戶應該設法簽定合理的服務等級協定,具體規定詳細的責任條款與賠償罰則。
許多專家在肯定雲端運算的潛力與優勢之餘,也看到其風險、安全性與互通性問題。可以確定的是,要讓雲端服務成為可以安全進行協同運作的環境,還有賴業界的持續努力。