這些年來在協助企業上雲的過程中,經常被問到一個問題:「資料放雲端,真的安全嗎?」IDG於2013年的調查亦顯示,67%企業組織認為資訊安全是部署雲端的最主要挑戰。
確實,近年來,業界的確有少數雲端服務遭到入侵導致個資外洩的案例,卻沒有讓企業主打退堂鼓。根據IDC今年的研究顯示,全球公有雲市場持續成長,2015年將達到729億美金之譜,五年複合成長率達27.6%。在每年新增的全球IT預算中,有46%貢獻是來自公有雲。
加碼雲端投資的企業,難道沒有資安疑慮嗎?其實您可以想想:錢要放在家裡還是存在銀行比較安全?家裡的安全設施,會比銀行更周延完備嗎?同樣的,雲端服務商有其規模優勢與業務需求,資安防護層級其實比大多數公司都要高!
因此,企業考量的重點,應是如何挑選符合資安需求的雲端服務。我們建議從三個方向來思考:國際資安規範、客製化的系統安全、資安專業諮詢。
在國際上已經有許多可遵循的雲端資安標準,例如CSA、SAFE HARBOR、SOC 2等等。美國聯邦政府也建立了兩大標準—FedRAMP規範雲端管理的安全機制、FISMA規範資料安全與駭客攻擊。對資安要求特別高的產業也會制定規範,如金融業的PCI-DSS,以及醫療健康產業的HIPAA等。能夠全數符合這些國際規範,其資安防護層級通常已超越一般企業所需。
接著,要考慮雲端供應商能否滿足客製化的資安要求。例如,金融業必須依法規選擇有裸機(bare metal)服務的廠商,讓資料在完全獨立的伺服器上運作,不與其他企業共享資源。對資安著力較深的網路供應商,更可以針對網路七層架構(實體層、資料連結層、網路層、傳輸層、會議層、展示層、應用層)提供客製化資安選擇,安全性更高。
此外,還有「三層式網路架構」的做法,將公有、私有與管理網路獨立分開。遭遇近年來常見的阻斷式攻擊時,公有雲的端口無法連線,還能透過私有與管理網路的端口進行補強與復原,而不會束手無策坐以待斃。
最後,其實也是最重要的,是雲端供應商能否提供足夠的資安專業,協助企業建立完整的資安管理架構與流程。若沒有好的資安政策與實踐,有再好的系統架構與符規都是枉然。誠然,兼具資安諮詢專業的雲端供應商為數較少,但是作為長期的IT戰略夥伴,將是值得的投資。
(本文作者現任IBM全球資訊科技服務事業部SoftLayer台灣區總責顧問)