由於雲端服務與雲端運算科技的複雜性與創新性,今使得雲端運算面臨的挑戰還真不少:
1.資料的安全性與隱私性
資料放在遠端雲端資料中心是否安全?是否容易外洩?如果資料儲存與其他企業共享同一個伺服器,是否妥當?
2.服務效率與可用性
雲端服務提供者是否能確保服務的傳輸、執行的效率與服務的可靠性為何?例如:Amazon、Salesforce.com等雲端服務提供者均有當機而導致服務停頓的事件。
3.標準性與轉移性
企業如何將既有的軟體、服務轉移至雲端服務提供者?保留在企業的軟體與雲端服務供應商的服務如何整合?雲端服務供應商間服務是否能協同?企業轉移軟體至服務供應商後,是否能夠輕易轉移到其他服務供應商?
 
雲端運算之威脅
 
依據雲端安全防護聯盟CSA(Cloud Security Alliance)對雲端運算可能遭遇的七大安全威脅分述如下:
1.濫用或利用雲端運算進行非法的行為(Abuse and Nefarious Use of Cloud Computing):此一威脅主要是針對雲端運算服務的供應者而言。雲端運算服務供應商(尤其是IaaS 與PaaS 供應商) 為了降低使用的門檻,通常並不會要求使用者必須經過嚴格的資料審查過程就可以直接使用其所其提供的資源,有些服務供應商甚至提供免費使用的功能或試用期。這些做法雖然可以有效推廣雲端運算的業務,卻也容易成為有心分子利用的管道。事實上,已經有包含殭屍網路、木馬程式下載在內的惡意程式運行於雲端運算的系統內。
 
2.不安全的使用者介面與APIs (Insecure Interface and APIs):使用者透過使用者介面或是APIs與雲端運算服務進行互動,因此這些介面與APIs是否安全直接影響到雲端運算服務本身的安全性。像是使用者介面的驗證與授權功能是否安全,APIs 的相依性與安全性,都是必須特別注意的地方。此外,如果有使用第三方的加值服務,這些服務的介面與APIs 的安全性也必須一併加以考量。
 
3.惡意的內部人員(Malicious Insiders):內部人員所造成的問題,這幾年來已經成為許多組織關注的重點,採用雲端運算將會讓內部人員所產生的問題更形嚴重。一個最主要的因素在於使用者無法得知雲端運算服務供應商如何規範與管理內部員工,甚至連招聘的條件與流程也屬於非公開的資訊。以安全的角度來說,”未知”絕對不是一種幸福,而是一種芒刺在背的威脅。更何況以雲端運算的業務性質而言,絕對是有心分子眼中的肥魚,所以內部惡意員工的比例應當會比一般組織來的更高。
 
4.共享環境所造成的議題(Shared Technology Issues):雖然使用雲端運算服務(尤其是IaaS) 時使用者好像擁有獨立的環境,但是這些環境都是從共享的實體環境中透過虛擬化的技術所產生出來的。這些虛擬化的平台能否將不同的使用者進行有效地隔離,以避免彼此之間相互干擾其服務的正常運算,甚至是避免彼此之間可以存取對方的資源,對雲端運算的安全來說是一個嚴格的挑戰。
 
5.資料遺失或外洩(Data Loss or Leakage):資料遺失與外洩對於一個組織的影響不只在於實際上的金錢損失,更在於如企業形象之類的無形損失。雲端運算因為其特定的緣故,使得資料遺失或外洩的議題面臨更加嚴峻的考驗。包含是否擁有足夠的AAA (驗證、授權、稽核)、是否採用適當且足夠的加密技術、資料持續性的需求、如何安全地刪除資料、災難復原、甚至是司法管轄的問題,都是必須認真加以考量的問題。
 
6.帳號或服務被竊取(Account or Service Hijacking):儘管帳號或服務被竊取的問題由來已久,但是這類問題對於雲端運算來說更具威脅性。首先因為雲端運算不像傳統的IT 架構般擁有實體的東西,因此一旦帳號或服務被竊取後,除非有其他的方式加以證明,否則惡意分子可以完全取代原先使用者的身分。在傳統的IT 環境中,因為使用者至少還擁有硬體的控制權,所以即使發生帳號或服務的竊取行為,使用者還是可以進行一些事後的補救措施,但是這些補救措施在雲端運算的架構下可能無法執行。此外,對於那些公開的雲端運算服務而言,直接暴露於網際網路上也讓這些竊取行為更加容易發生。
 
7.未知的風險模型(Unknown Risk Profile):以安全的角度來說,”未知”是一種芒刺在背的威脅。以雲端運算來說,不管是IaaS、PaaS、SaaS 都是將服務包裝成一個使用者不需了解也無法了解的系統,讓使用者專注於如何”使用”該系統。但是這樣的方便性,也讓使用者無法了解這些服務所使用的網路架構、安全架構、軟體版本等等各式各樣的重要資訊。這些資訊對於評估安全狀態是很有幫助的,欠缺這些資訊將使得這樣的評估行為無法被有效地進行。

 

相 關 產 品

智慧醫療智慧醫療

09 Oct, 2020

BU4美編專用 AI應用
Read More
智慧教室智慧教室

16 Oct, 2020

BU4美編專用 AI應用
Read More
工廠設備預知保養工廠設備預知保養

17 Sep, 2020

BU4美編專用 AI應用
Read More
生產製程優化生產製程優化

17 Sep, 2020

BU4美編專用 AI應用
Read More