文/沐港華

在今年8月16日晚上，網(wǎng)絡(luò)服務(wù)巨擘Google旗下所有的全球服務(wù)也宕機(jī)1至5分鐘，包括Google搜尋、Gmail、Youtube等網(wǎng)絡(luò)服務(wù)均短暫停止運作。此次宕機(jī)可謂史無前例，據(jù)專家估計，全球的網(wǎng)絡(luò)流量因宕機(jī)而驟降約達(dá)40%，Google也因而損失估計約50萬美元。當(dāng)今，云端運算產(chǎn)業(yè)具備軟、硬件資源共享、提升成本效益與使用便利性等優(yōu)勢，在一片看好的同時，卻也面臨諸多的挑戰(zhàn)，其中，安全議題躍居榜首，它成為限制云端運算發(fā)展的重要關(guān)鍵因素，能否確保云端運算服務(wù)的機(jī)密性、完整性及可用性，均將影響廣大用戶未來使用云端服務(wù)、或是將數(shù)據(jù)儲存在云端平臺的意愿。

1 云端運算服務(wù)的安全威脅

云端安全聯(lián)盟（Cloud Security Alliance，CSA）發(fā) 表 的《The Notorious Nine：Cloud Computing Top Threats in 2013》指出，云端運算服務(wù)中最常見的9項安全威脅，包括：數(shù)據(jù)泄漏和數(shù)據(jù)遺失、審慎評鑒不足、應(yīng)用不安全、內(nèi)部員工的惡意行為和網(wǎng)絡(luò)攻擊。

2 建構(gòu)云端安全的方法

傳統(tǒng)數(shù)據(jù)安全、業(yè)務(wù)持續(xù)和災(zāi)難復(fù)原，用戶應(yīng)檢視云端服務(wù)供應(yīng)商的環(huán)境安全及設(shè)備安全，并確認(rèn)供應(yīng)商已妥善處理傳統(tǒng)信息安全問題，且已具備詳盡可行的災(zāi)變復(fù)原程序及業(yè)務(wù)持續(xù)運作計劃，以確保萬一發(fā)生事故，仍可維持既有的服務(wù)水準(zhǔn)。相關(guān)安全建議如下：

（1）供應(yīng)商針對用戶所需的安全要求，應(yīng)該建立一套安全基準(zhǔn)（例如：系統(tǒng)管理、實體環(huán)境安全、人員作業(yè)程序、事件處理等）。

（2）用戶應(yīng)盡可能地實際到場檢查供應(yīng)商的各項安全措施。

（3）應(yīng)確認(rèn)供應(yīng)商是否有專業(yè)的信息安全管理人員，并了解其人員的職務(wù)運作與訓(xùn)練情況，以及是否符合分工牽制與最小權(quán)限原則。

（4）云端服務(wù)供應(yīng)商應(yīng)參考NIST 800-61（Computer Security Incident Handling Guide），建立信息安全事件應(yīng)變小組，制訂信息安全事件應(yīng)變措施與標(biāo)準(zhǔn)程序，確認(rèn)其緊急應(yīng)變處理的能力，并依照法規(guī)要求進(jìn)行通報，以避免事件的擴(kuò)大，應(yīng)事先了解供應(yīng)商對于信息安全事件的監(jiān)控方式與事件處理流程。在合同或服務(wù)等級協(xié)議中，須明訂信息安全事件的因應(yīng)處理事項，包括事故相關(guān)軌跡記錄的匯集、檢驗、分析與鑒識報告。例如于多租戶的云端環(huán)境中發(fā)生信息安全事件，須確認(rèn)如何區(qū)隔與事件有關(guān)的數(shù)據(jù)，并且不侵犯到其他用戶的隱私。此外一旦采取系統(tǒng)回復(fù)的方式處理信息安全事件，必須確保事件過程的日志記錄被妥善保存，并可提供后續(xù)調(diào)閱。用戶必須與供應(yīng)商更緊密地配合進(jìn)行事件調(diào)查。

3 云端環(huán)境下應(yīng)用不安全問題相關(guān)建議

針對應(yīng)用不安全問題，在云端環(huán)境下運作的應(yīng)用程序，必須采取更嚴(yán)謹(jǐn)?shù)陌踩浖l(fā)展生命周期（Secure Software Development Life Cycle, SSDLC），意即于需求分析、設(shè)計、開發(fā)、測試、上線、維護(hù)等每一階段，都必須考慮安全性的需求；在非大幅改變原有的軟件發(fā)展流程下，強化相關(guān)流程的安全性，并在開發(fā)階段即盡早排除安全上的問題，上線后也應(yīng)定期檢視應(yīng)用程序是否含有可能的安全漏洞，以便開發(fā)、測試及后續(xù)的維護(hù)成本得以降至最低，相關(guān)安全建議如下：

（1）在云端應(yīng)用程序發(fā)展的各階段中，都須進(jìn)行信息安全的評估或檢測，包括針對云端安全威脅與弱點的評估、程序源代碼的安全性檢測、系統(tǒng)上線前的弱點掃描等。

（2）當(dāng)應(yīng)用程序間之通訊須跨越不同主機(jī)時，安全通道的建立與傳輸數(shù)據(jù)的加密是絕對必要的安全措施。

（3）相關(guān)應(yīng)用程序信息可能具有機(jī)敏性數(shù)據(jù)，應(yīng)重視其執(zhí)行與存取記錄的存放方式與安全管制。

（4）針對內(nèi)部員工的惡意行為問題，云端用戶應(yīng)盡量使用服務(wù)配置標(biāo)記語言（Service Provisioning Markup Language, SPML），搭配安全宣示標(biāo)記語言（Security Assertion Markup Language, SAML）與可擴(kuò)展存取控制標(biāo)記語言（eXtensible Access Control Markup Language, XACML）以存取供應(yīng)商提供的連接服務(wù)，并建議利用身分辨識與存取管理（Identity and Access Management, IAM）的功能，輔助用戶存取云端服務(wù)的身分驗證、授權(quán)與稽核。即使云端服務(wù)供應(yīng)商所提供的身分驗證功能無法完全滿足用戶的要求，仍建議用戶應(yīng)避免采用獨特的管理方式，否則將增加身分識別管理的復(fù)雜度及未來不易遷移至其他云端服務(wù)的困擾。采取業(yè)界標(biāo)準(zhǔn)的身分識別方式，必要時，企業(yè)也須修改其授權(quán)機(jī)制，以便延伸至云端服務(wù)中。在身分驗證方面，用戶通常有兩種選擇，一種是采用企業(yè)驗證，另一種則是由用戶以個人名義，通過普遍的公開服務(wù)（例如：Google、Yahoo、Windows live及Open ID等）建立可在多個網(wǎng)站使用的身分驗證機(jī)制。

4 結(jié)論

自云端運算的概念釋出至今，相關(guān)服務(wù)仍持續(xù)演進(jìn)與成長，但無論云端技術(shù)如何演進(jìn)，云端運算仍架構(gòu)在既有的信息技術(shù)之上，傳統(tǒng)的信息安全問題在云端上依舊存在，企業(yè)組織采用云端運算后，組織的信任邊界從自行管理的有限靜態(tài)邊界，轉(zhuǎn)變成供應(yīng)商提供服務(wù)的動態(tài)邊界，面對所衍生的作業(yè)安全問題，也衍生出異于既往的思考方向。