云端与资安交互的火花云端资安效应初探.pdf

雲端與資安交互的火花─雲端資安效應初探 ◎樊晉源 雲端科技近年來已成為國際通訊及科技市場上重點發展的領域，包括Google 、Amazon 、IBM 、Microsoft 等 大廠，甚至是各國政府組織，均積極投入大量資源發展相關技術與產業，未來人們就能以低成本、高效率的方式， 快速連結到網際網路上處理資訊資料，進而根據個人或公司的需求，發展資訊服務平台並快速地部署在網路上供 顧客使用。但是，到底什麼是「雲端」？又分享在雲端上的資訊是否能保護我們的隱私，讓我們在便利使用各項 資訊應用的過程中，不至於擔心「雲」會讓我們個人或企業的重要資料曝露在不安全的環境中，而讓不法之徒有 機可乘？這是目前許多人最想確認與了解的課題。 本篇文章首先期望從雲端架構進行探討，讓讀者了解雲端如何服務大眾，進一步從中點出資訊安全議題，並 提出此類資訊問題該如何解決；最後希望給大家省思，當進步的科技帶來幸福的果實讓大眾享用時，相對而言大 眾所能保有的隱私是否也逐漸降低？這兩者間是否有一平衡機制？身為個人該如何防範？ 探討雲端架構之前勢必要解釋何謂「雲端」？基本上所謂的「雲端」，其實就是泛指「網路」，會稱為雲端 是因為早期工程師繪製網路示意圖時，習慣用「雲」來代表網路，因此雲端科技簡單而言，可說是網路科技之延 續。坦白說，雲端科技並不是一項創新的科技，因為其概念及技術均來自於更早期的「分散式運算」（Distributed Computing ）以及「網格運算」（Grid Computing ）這兩種概念，但不同於此兩種運算技術，故雲端科技可簡稱為 此兩者之整合應用與服務。原本此兩種技術受限於硬體及軟體，所能服務之對象均有限，但透過整合兩者的優勢 與特長，雲端運算能讓更多人享受到分散式及網格運算技術的強大效益，同時，也伴生及結合出更多更新的應用 概念與新興技術。 而雲端到底包含哪些架構？這些架構需要如何定義？這個問題最早是由CSA （Cloud Security Alliance ）在 2009 年發表的報告中，以服務的角度切入雲端並進一步區分為三大類，即IaaS （Infrastructure as a Service ）、PaaS （Platform as a Service ）與SaaS （Software as a Service ）。從各類服務的內容與特質來看，三種服務分別針對基 礎設施（硬體、網路連線）、系統平台（系統環境、開發工具）、應用系統（軟體、服務平台）作為雲端架構的 檢視；並進一步從中針對雲端技術如何支援此三種服務進行討論。 隨著雲端科技越趨火熱，市場上相關的應用相繼出籠，單純從CSA 提出的服務架構來看雲端發展，也變得 有些不足。因此，許多專家學者紛紛提出自己的雲端應用架構。我們認為，應該將支援輔助的角色含括進來共同 討論，才能算是完整的雲端服務架構。所以，架構的核心仍然是CSA 的三層服務類型，而相關服務的提供者就 稱為雲端內容服務商，協助設計、規劃與布建的提供者稱為稽核顧問商，尚包括其他周邊的支援性產品提供者。 在稽核顧問商這部分，必須隨時關注各國相關政策與法令規章，這會影響到雲端服務商在服務架構上的設計要求； 這部分也會連帶影響雲端應用系統與服務平台關於設計開發規範與營運管理的要求，進而影響後端其他支援性產 品的開發與設計。 至於資訊安全在這一架構中，到底扮演何種角色？若從服務的角度切入，那麼資訊安全的需求勢必成為最被 關注的問題。尤其在內容服務商這部分，對任何一個選擇雲端作為解決方案的個人或企業，資訊安全一定是其最 為擔心的問題；畢竟，資料都存在「雲」上，廠商怎麼保證其實體資料不會遭受駭客、敵對廠商之竊取與入侵？ 因此，雲端必須加重其資訊安全之重要性。至於如何規劃布建出一個符合需求的雲端資訊安全架構與環境，則是 雲端與資訊安全廠商必須積極努力的課題。 現階段ISO27001 針對資訊安全構面，已有詳盡的管理規範，從硬體、軟體，甚至接觸者，均有稽核時應注 意的重點與要求。但這是否已足夠應付雲端服務可能遭遇的資訊安全問題？其實，整個雲端資訊的安全，必須從 內容服務加以拓展出去，針對各種可能出現的資訊安全狀況進行分析，並進一步思考制定適當的法規；稽核顧問 商也應重新思考如何加進法規，進行一系列雲端內容商的認證；同理，支援商也必須符合技術及法規規範，提出 相對應之服務、軟體或設備。 概括而言，真正影響雲端發展之問題，並不是技術與服務項目的多寡，恐怕還是資訊