當許多服務供應商與企業、組織、IT廠商投入雲端系統的建置,因為並沒有統一的業界標準可供參考,因此在發展上各行其是,但實務上,我們不只是要關切系統維運上的可靠度與效能,還需要注意互通性、安全性等議題。

這樣的環境下,大家最關切的就是如何確保應用系統與資料的安全性。2008年的ISSA CISO Forum大會上,雲端安全聯盟(Cloud Security Alliance,CSA)開始成形,Jim Reavis報告這項新興的趨勢,並呼籲各界要對提升雲端環境的安全採取行動,接著他和Nils Puhlmann大致擬定了CSA的初期任務與發展策略,隨後經過幾次與業界人士的開會討論,在同年12月正式成立CSA。

隔年4月舉辦的RSA大會上,全球資安社群都開始認識到這一個非營利組織,並且號召了十多位專家,撰寫出一份指引你做好雲端安全的白皮書《Security Guidance For Critical Areas of Focus in Cloud Computing》(雲端運算關鍵領域的安全指引,簡稱為雲端運算安全指引)。

接下來幾年,CSA陸續成立了許多針對特定主題研究的工作小組,例如CloudSIRT(Computer Security Incident Response Teams),主要關切的是在雲端運算環境下,若發生資安事件該如何應變;CCM(Cloud Controls Matrix)提供一份矩陣表,讓用戶能自我評量雲端運算環境的安全程度。

而最近相當熱門的巨量資料(Big Data),以及行動應用(Mobile)等議題,CSA也有工作小組對應。

然而,在這些工作小組發表的成果中,最為人所知的,仍是《Security Guidance For Critical Areas of Focus in Cloud Computing》這份白皮書,而CSA在2010年發表2.1版,到了去年11月則正式推出第3版,希望為那些想要安全採用雲端運算環境的管理者,提供一份實務、可執行的發展藍圖,總共分為三大部分與十多個主題範圍。

這一版更新的部分,包括涵蓋的範圍重新調整,更加強調安全性、穩定性與隱私,以及確保在多租戶環境下的企業資料保護。在架構與內容成熟度上,CSA的雲端運算安全指引也與各國推動的雲端運算標準看齊,企圖建立一套穩定的雲端環境安全作業標準。

基於先前版本的內容,這一版提供更多實用的建議措施,以及對應量測與稽核的需求。而安全指引在內容改版時,也同時在吸收了CSA在GRC(Governance, Risk Management and Compliance)Stack,以及Trusted Cloud Initiative這兩個工作小組下的成果。

在主題範圍的類別上,和上一版的內容相比,新版增加了資安即服務(Security as a Service),而且在幾個類別的命名上有些改變,例如第3類主題從Legal and Electronic Discovery,改為Legal Issues: Contract and Electronic Discovery,第4類主題原本在先前是Compliance and Audit,新版多加了Management的描述,而第5類主題原本是Information Lifecycle Management,現在則更換為Information Management and Data Security。

第一部分‥雲端環境的架構(Cloud Architecture)

這個類別僅包含雲端運算架構框架這項主題,主要提供安全指引的概念框架,理解這個框架是理解整份安全指引的第一步,裡面定義了許多在其他主題範圍內會提到的概念與詞彙。

1‥雲端運算架構的框架(Cloud Computing Architectural Framework)

CSA雲端運算安全指引第三版所參考的雲端運算定義,主要是根據美國國家標準與技術研究所(NIST)發表的NIST 800-145文件內容。

他們認為,雲端運算需具備以下5個特性:要能提供廣泛的網路存取能力、能快速伸縮、服務可以量測、提供隨選式自助服務,以及資源可以共享;服務的模式,有SaaS、PaaS和IaaS等三種;而雲端服務提供的方式,要有公有雲、私有雲、混合雲與社群雲等四種。

第二部分‥雲端環境的治理(Governing in the Cloud)

雲端的治理與風險管理的基本工作,主要是身分管理,以及組織的架構、流程與控制的適當實施,以維持資訊安全治理、風險管理與法規遵循。

2‥治理與企業風險管理(Governance and Enterprise Risk Management)

這是指因應雲端運算而來的組織治理與測量企業風險能力,項目包含協議破壞的後的合法優先權、使用者組織充分評估雲端服務供應商的能力、保護敏感資料的責任歸屬,以及國與國之間邊界對於這些議題的影響。

3‥法律議題:合約與電子資料搜尋(Legal Issues: Contract and Electronic Discovery)

主要是關於雲端運算使用時,會發生的潛在合法性議題。這部份所探討的範圍需求,包括資訊與電腦系統的保護、安全遭到破壞後是否公開揭露、法規的需求、隱私的需求,以及國際法令。

4‥法規的遵循與稽核管理(Compliance and Audit Management)

在使用雲端運算時,這部份主題會討論如何維護與證明本身已遵守法規要求。議題將牽涉到如何評估雲端運算在內部安全政策上,對於法規遵循的影響程度,以及多種法規遵循需求。在稽核期間,關於如何證明本身的法規遵循,這裡也將包含部份方向指引。

5‥資訊管理與資料安全性(Information Management and Data Security)

管理位在雲端環境上的資料,項目涵蓋雲端資料的身分與控制,以及資料搬移至雲端時,補償性的控制用於處理實體控制的損失。

6‥互通性與可移植性(Interoperability and Portability)

這是指資料或服務從一家供應商搬移到另一家供應商,或是完全帶回到原本所使用的內部環境。相關的主題都與供應商的互通性有關。

第三部分‥雲端環境的維運(Operating in the Cloud)

當雲端運算興起,成為IT委外服務所常採用的技術,代管服務模式下的安全議題就必須更周延地設想,不能等閒視之。而從雲端運算概念而來的風險,會是與托管的保密性,以及第三方單位或雲端服務商對敏感資料的處理相關。

7‥傳統安全、業務持續與災難復原(Traditional Security, Business Continuity, and Disaster Recovery)

主要探討雲端運算對於現存系統使用流程與程序的影響,例如實際用在安全、企業永續營運與災難復原時,要注意會發生哪些狀況。

這個主題也將探討與檢驗雲端運算的可能風險,並且針對如何提供更好的企業風險管理模型需求來努力,期望能藉此增加對話與思考。接下來,這裡也會接觸到協助人們,去認識到雲端運算可以促進縮減特定資安風險或,與承擔其他領域的增長。

8‥資料中心維運 (Data Center Operations)

本類是關於評估供應商的資料中心架構與作業方式。基本上,會著重在讓使用者去了解通用的資料中心特性裡面,有那些會危害持續性的服務,以及那些是維持長期穩定性的基礎。

9‥突發事件的反應(Incident Response,IR)

是指如何做好事件偵測、反應、通知與矯正等工作項目,這類將同時針對供應商端與使用者端,以促成適合的事件處理與法庭鑑識機制,有助於理解雲端對於你現有事件處理計畫造成的複雜度。

10‥應用程式的安全性機制(Application Security)

針對執行在雲端或在雲端上開發的應用程式,這個主題將探討如何確保安全性。例如在雲端運算環境上,是否能適當地遷移或設計應用程式,若要達到這樣的目標,先要了解在何種雲端平臺(SaaS、PaaS或IaaS)上實作是最恰當的。

11‥資料的加密與金鑰的管理 (Encryption and Key Management)

CSA教你認識採用加密機制,以及金鑰管理可延展使用的必要性。這並不是硬性規定,但他們仍提供更多資訊是關於需要這麼做的原因,而且會讓你了解到使用期間會產生的議題,例如對資源存取的保護,以及資料保護。

12‥身分、權限與存取管理 (Identity ,Entitlement and Access Management)

主要會提到如何管理身分資訊與善用目錄服務,來提供存取控制。這類主題將集中探討的狀況,是發生在組織的身分管理延伸到雲端時。對於產生以雲端環境維基礎的身分、權限與存取管理(Identity, Entitlement, and Access Management,IdEA),CSA在雲端運算安全指引上,也會提供相關的建言。

13‥ 虛擬化(Virtualization)

本類主題所要討論的,是雲端運算環境中所運用的虛擬化技術,所要提出的項目,包含多租戶環境、虛擬機器之間的隔離、虛擬機器共同常駐的狀況、Hypervisor的弱點等。對於本類主題所探討的安全性議題,CSA將特別針對系統與硬體的虛擬化去探討,而非一般的虛擬化應用檢視。

14‥資安即服務(Security as a Service)

以第三方的角度,提供容易使用的安全保障、事件管理、法規遵循的保證,以及身分管理與存取的監控。資安即服務是將安全基礎架構的偵測、矯正與治理,授權給可信的第三方單位,而他們會採用適當的工具與專門技術來達到需求。從基於這些個別的專業知識與技術而成的服務,用戶可以獲得保護敏感業務作業的效益。

除了參考這份安全指引的建議,對於如何做好雲端環境的安全,2010年曾來臺灣參加國際資訊安全技術高峰會的CSA創辦人之一的Tim Mather,也對業界提出一些建言。

他認為,整體而言,雲端運算的用戶要注意下列4大重點:認識你所擁有的資料、所欲達成的目標、供應商的執行力與承諾,以及既有安全技術在雲端運算環境應用上的限制。

虛擬化環境下的安全議題

虛擬化有好幾種形式,最常見的莫過於將作業系統虛擬化,而CSA雲端安全指引這份文件所針對的部份,主要是這種類型的應用。下列是他們提出的相關資安考量:

1. 虛擬機器端作業環境的強化程度

2. Hypervisor的安全性

3. 虛擬機器之間的網路攻擊行為與管理上的盲點

4. 效能考量

5. 虛擬機器組態的雜亂,增加管理上的複雜度

6. 虛擬機器即時啟動時的控管空窗期

7.資料合併的處理

8. 虛擬機器的資料銷毀

9. 虛擬機器的映像遭到竄改

10. 在不同主機之間移動的虛擬機器


相關報導請參考「建構安全雲端環境的關鍵Know How」

熱門新聞

Advertisement