資訊安全的需求多元,不論是軟體或是硬體都有很好的資訊安全產品,但隨著科技的日新月異,您的IT設備或許都已安排在市場的前導,然而,您是否還覺得不安全?您的資訊安全感夠齊全嗎? 客戶端 / 使用者須依所處的環境決定這些威脅的影響並採取適當的控制措施。您企業的Security Guide 是否已隨雲端應用已增修? 本單元我們來探討如何進行資訊安全在雲端的評估。
雲端運算之安全評估
安全性是影響企業是否採用雲端服務重要的考量之一,雖然目前許多雲端服務供應商聲明已具備足夠的雲端資訊安全能力,然而企業採用雲端服務所面臨的資訊安全問題,會隨著企業採用的種類以及使用方式而有所不同。因此雲端服務供應商所提供的資訊安全等級是否能夠符合需求仍需經過自行評估才能確定,以下提出採用雲端服務時對於資訊安全的評估步驟:
1.選定採用雲端服務的種類
企業採用雲端服務之前,需先分辨清楚採用雲端服務的種類。我們在先前的電子報當中已有提到雲端服務可分為IaaS、PaaS和SaaS三種服務方式與公有雲、私有雲以及混合雲三種部署方式,採用服務種類的不同,所面臨的雲端資訊安全風險亦會有所不同。例如:公有雲具有多租用戶的架構,除了來自網路的威脅外,還會面臨其他雲端租戶與雲端服務供應商員工的內部威脅,同時還須考量資料實際的存放地點是否符合法律規範,而私有雲則較無以上風險;混合雲則因同時使用公有雲及私有雲架構,在資訊安全的評估上將更加複雜。
2.確認相關資料與應用程式的重要性
在選定欲使用的雲端服務種類後,則要確認該雲端服務使用到相關資料與應用程式的重要性。若該雲端服務相關資料與應用程式的重要性不高,那麼標準的資訊安全等級即可滿足企業對於該雲端服務的要求;倘若該雲端服務相關資料與應用程式具有高度重要性,例如:個人資料,為了避免新版個資法下須負擔的高額民事賠償金額以及刑事責任外,企業要求的資訊安全等級勢必會提高。企業應對相關資料與應用程式後續可能產生的風險以及企業是否能夠承受該風險所帶來的衝擊進行衡量,如果相關資料與應用程式的重要性甚高,企業對於可能造成的衝擊無法承擔時,則必須重新考量採用的雲端服務種類是 否恰當。
3.進行整體風險分析
確認相關資料與應用程式的重要性所帶來的風險與衝擊後,企業應對採用的雲端服務進行整體性的風險評估。一般而言,雲端服務資訊安全主要的考量因素有以下幾項:資料的安全性(如:使用者存取管理、資料加密管理、資料傳輸管理、各用戶資料彼此間的隔離、資料實際儲存位置)、雲端運算服務供應商法規遵循的可靠性(如:營運方式是否符合法規要求)、服務中斷時的回復能力(如:回復速度、回復程度)、對企業需求的支援能力(如:協助企業進行調查、雲端運算服務提供商之間的轉換)、永續經營(如:是否會突然終止服務、終止服務後協助原用戶移轉服務的能力)。根據上述項目,企業可搭配資訊安全等級的要求以及所處產業的相關法規,針對各項目進行延伸或修改,制定出符合該企業雲端資訊安全需求的風險評核表。而企業在制定風險評核表時必須清楚地了解採用雲端服務後工作流程的改變,發掘各環節可能發生的風險,以提高風險評核表的完整性與周延性。
4.尋找最合適的雲端服務業者
當企業量身打造出符合需求的風險評核表後,企業即可依此對各雲端運算服務提供商進行篩選。首先,企業可以參考雲端服務供應商是否具備相關認證以證明其能力,例如:由雲端安全聯盟(Cloud Security Alliance) 所提供的CCSK(Certificate of Cloud Security Knowledge)認證。針對風險評核表中各項考量因素,雲端運算服務供應商均應提供完善且直接對應的管理能力以及事後補救方案。當企業挑選出合適的雲端運算服務提供商後,企業需與其簽訂服務水準協議(SLA,Service Level Agreement),其中除明訂雲端運算服務供應商各項服務應提供的水準以及違反時應給付予企業的賠償外,對於各項疏失 所造成的責任亦應清楚分擔。
5.定期追蹤考核
與選定的雲端服務提供商簽訂契約後,企業便可依照此契約使用該業者提供的雲端服務,但對於雲端服務資訊安全的評估仍應持續進行。由於會因為資訊技術的改善、法規條文的頒布、企業業務範圍的調整等內在或外在因素的改變,企業對於採用的雲端服務資訊安全的要求也會有所改變,因此,企業應定期檢視並適時修改風險評核表,以確保該雲端服務的資訊安全等級隨時保持在企業要求水準之上。雲端服務背後的資訊架構以及流程相較於傳統資訊架構複雜許多,企業須面對的資訊安全問題也相對較多。因此,企業在採用雲端服務前,需按步驟對整體雲端服務做全面性的風險評估,了解各環節潛藏的資訊安全風險,以便做事前預防。同時,對於潛在風險可能造成的衝擊,企業亦需與雲端服務提供商明確地分攤責任並共同制定事後的補救方案以降低帶來的傷害,如此企業才能安全無慮地享受雲端服務所帶來的效益與雙方的責任釐清與規範。

相 關 產 品

智慧醫療智慧醫療

09 Oct, 2020

BU4美編專用 AI應用
Read More
智慧教室智慧教室

16 Oct, 2020

BU4美編專用 AI應用
Read More
工廠設備預知保養工廠設備預知保養

17 Sep, 2020

BU4美編專用 AI應用
Read More
生產製程優化生產製程優化

17 Sep, 2020

BU4美編專用 AI應用
Read More