雲端運算之安全議題.ppt

1.雲端運算之安全議題 * * 雲端資訊安全一 主講人:陳建源 日期:99/12/13 研究室 :法401 Email: cychen07@.tw 資料來源 雲端運算使用案例第 4 版 /Cloud_Computing_Use_Cases_Whitepaper-4_0-China_T.Chinese_translation.pdf 由「雲端運算使用案例討論小組」製作之白皮書 第 4 版 2010 年 7 月 2 日 Outline 法規 安全管控 安全聯合模式 客戶經驗： 2.服務等級協議 (SLA) 1.雲端運算之安全議題 雲端運算安全：最大差異在於企業失去掌控權 雲端運算之安全議題 法規：法規並非技術問題，但法規所影響的安全要求高於功能要求。 安全管控：雲端提供的基礎架構是否有能力確保安全。 安全聯合模式：為落實安全管控，需要不同的聯合模式，雲端供應者應透過現有安全標準提供聯合模式。 法規： 世界各國政府均關切雲端運算使用問題，許多國家訂定嚴格隱私權法律，禁止特定資料儲存於國外實體機器中，組織或組織高層若違法將處重刑，任何組織若將敏感資料儲存於雲端，必須證明雲端供應者儲存資料時，並未存放在特定地區以外的實體伺服器內。 1.雲端運算之安全議題 安全管控： 1.雲端運算之安全議題 安全管控： 1.雲端運算之安全議題 安全管控： 1.雲端運算之安全議題 安全管控：應用於各項管控的部分標準 1.雲端運算之安全議題 安全聯合模式： 聯合亦即讓多項獨立資源如同單一資源運作，雲端運算本身即為聯合資源，故在單一雲端運算解決方案中，許多資產、身分、配置及其他細節必須聯合，才能發揮效果。 1.雲端運算之安全議題 安全聯合模式： 信任：指雙方在鑑別機構下建立信任關係的能力，鑑別機構能夠交換證明（通常為 X.509 憑證），並以此確保訊息安全及建立已簽署的安全記號（通常為 SAML），信任聯合是所有其他安全聯合模式的基礎。 身分管理：藉由使用者證明（帳號、密碼、文件）憑證身分，並回覆符合使用者的已簽署安全記號，服務提供者若信任身分提供者，縱然毫不認識使用者，亦可使用安全記號，開放適當權限給使用者。 1.雲端運算之安全議題 安全聯合模式： 使用管理：能夠制定政策（通常為 XACML）檢視安全記號，以管理雲端資源使用情況，使用資源會受到多個因素掌控，例如限制僅特定角色使用者可使用資源、只能在特定協定中使用、限制使用時段等。 單一登入/登出：根據可信任機構憑證匯整登入資訊，由於已鑑別使用者已具有特定角色，單一登入功能讓使用者只需登入某一應用程式，即可使用其他信任相同機構的其他應用程式。單一登出模式亦然，在許多情況下，使用者 若自某一應用程式登出，就必須同時登出其他應用程式，單一登入模式需以身分管理模式為基礎才能執行。 1.雲端運算之安全議題 安全聯合模式： 審核及監管：可收集散佈在混合雲等多重網域內的審核及監管資料，聯合審核為必要工作，可確保並記錄活動符合 SLA 及法規要求。 配置管理：結合服務、應用程式及虛擬機器的配置資料，包括使用政策及跨網域授權資訊。 1.雲端運算之安全議題 客戶經驗-雲端運算能力： 有一家保險公司擁有一套索賠應用程式，用來收集被保險人資料及所受損失情況。颶風預計將襲擊美國墨西哥灣地區，可能造成重大財產損失，導致索賠案件大增，也大幅提高企業資訊科技基礎架構負荷。該公司決定與公用雲提供者合作，使用虛擬機器應付預期要求，企業必須掌控自 有系統與雲端虛擬機器的使用權，只限公司合格經理人取用，此外，企業也要安全地將雲端申請案的資料送回企業防火牆內，而雲端供應者必須確保虛擬機器一旦關閉後，應用程式與資料記錄會徹底消失。 1.雲端運算之安全議題 解決客戶問題： 使用公用雲後，讓企業能處理異常大增的工作量。透過添購、維護、供電與冷卻額外系統來處理可能面臨的巨大工作量，並不符合成本效益，該公司內部已有運算能力，可應付日常維運，故可在所需時間自動增加運算能力。 要求與掌控： 1.雲端運算之安全議題 聯合模式： 信任、使用管理、配置管理 角色： 索賠核算員、保險代理人、審核員 安全使用案例經驗-雲端運算能力 客戶經驗-雲端開發與測試： 網路零售業者需要開發一套新的 Web 2.0 店面應用程式，但不想增加資訊科技部門與現有資源負擔，故選擇一家雲端供應者，提供雲端開發環境，儲存開發工具及來源碼，由另一家雲端供應者提供測試環境，讓新應用程式可與各種機器及大量工作互動。 因為運用兩家提供者區隔開發與測試，故雙方聯合非常重要。 1.雲端運算之安全議題 解決客戶問題： 在開發者眼中，使用雲端開發工具後，就不必在每位開發者的電腦裡安裝、配置及管理工具，工具更新也只需在雲端進行一次，所有開發者就自動取得同一版本的工具。 產品建置速度會加快，大規模建置工作可運