日期:2013/05/03
時間:13:50 ~ 15:30
學生:資傳研一 林智偉
演講者:優弧資訊公司總經理 呂沐錡博士
心得:
雲端運算技術(Cloud Computing)最早是由亞馬遜Amazon所提出的一種軟體技術,因應網路購物平台而生的雲端運算。之後Google、Microsoft也跟進,而這個技術,其實早就已經存在我們的生活中,而且應用持續擴大,成為生活中不可或缺的一部分。隨著網際網路急遽發展下,硬體效能與行動裝置的高速運算需求提升,加上寬頻的普及等各種面向,來觀察雲端運算的演進,可以由早期的網路撥接(Modem)談起,歷經網路伺服器(Web Server)、主機代管(Web Hosting)、到現今發展的應用程式代管(ASP)。
最簡單的雲端運算技術在網路服務中已經隨處可見,例如「搜尋引擎、網路信箱」等,使用者只要輸入簡單指令即能得到大量資訊;進一步的雲端運算不只是做資料搜尋、分析的功能,更可以運用在生物科學上,例如:解析癌症細胞、分析基因結構DNA、基因圖譜定序等;在未來更有智慧型手機(Smart phone)、衛星導航(GPS)等行動裝置都可以透過雲端運算,發展出更多的應用服務。
近2年來,雲端運算(Cloud Computing)成為資訊產業的熱門話題,IT大廠爭相投入資源,舉辦各式活動與研討會,大力鼓吹雲端的效益;相較於供應端的賣力演出,需求端(即企業)的反應顯然冷淡許多,關鍵就在資安,雲端服務的安全威脅,已成為市場發展的絆腳石。
資訊產業更新速度快,每隔幾年總有不同話題出現,近2年最火熱的話題非雲端運算莫屬,不只微軟(Microsoft)、惠普(HP)、IBM及Google等資訊大廠強力推動雲端運算,就連各國政府也紛紛投入資源,希望幫助該國廠商在雲端產業取得一席之地,包括日本、韓國、大陸、歐盟各國及台灣,皆是如此。
剖析雲端運算7大安全威脅
傳統資訊架構,所有IT相關的軟硬體設備與人員(如伺服器、儲存設備、程式開發人員等),都在可掌握的公司環境內,因此,無論要執行安全管控或事後稽核,皆非難事,然而當一切放上雲端後,資料的儲存與運算處理,可能分散在雲端各個角落,安全控管與維護將變得更不容易。
究竟採行雲端運算會帶來哪些安全問題?雲端安全聯盟(Cloud Security Alliance)在2010年3月發布的《Top Threats to Cloud Computing V1.0》報告中指出,雲端運算正面臨7大安全威脅,其中,除了第1點比較針對雲端服務供應商來探討外,其餘6點皆是使用者應注意的安全威脅,提供給準備朝雲端發展的企業參考。
1、不安全的介面與應用程式介面(APIs)
雲端服務供應商提供軟體介面或應用程式介面,以便用戶使用雲端服務,因此,這些介面的安全性,與雲端服務的安全性與可用性息息相關,倘若雲端平台提供第3方供應商的加值服務,則這些服務的使用介面,也可能會增加原本應用程式介面的複雜性及風險,企業必須一併加以考量。
2、惡意的內部員工
此處指的是雲端服務供應商的內部員工,他們是最有機會接觸企業資料的人,但是企業卻不知道他們如何被規範,也許連招聘的條件與方式都不清楚,這些未知都是1種潛在威脅,畢竟「人」是作業環節中最難管控的部分,再加上雲端平台又最容易接觸到各企業的資料,所以內部員工竊取資料的風險相對高於一般企業組織。因此,企業擁抱雲端的第1步,就是瞭解雲端服務供應商對其內部員工的管控規範原則,以降低潛在未知的安全風險。
3、共享環境所造成的議題
採用雲端運算之所以能降低成本,關鍵在於善用資源,使用者看似擁有獨立運算環境和資料儲存空間,實際上卻是與他人共用1台主機,只不過透過虛擬化技術,在實體環境上產生多個虛擬空間,此時,雲端服務供應商如何儲存及保護客戶的資料?不同企業平台能否有效隔離、避免彼此存取對方資源?這些都是雲端運算安全的重大挑戰。
4、資料遺失或外洩
資料遺失或外洩的方法有很多種,例如:在沒有備份的情況下刪除或修改資料、遺失加密金鑰導致資料被破壞等,對企業來說,資料遺失或外洩所造成的影響,絕對不是只有金錢損失而已,還包括商譽受損、客戶不信任等無形衝擊,而雲端環境受到平台架構與運作特性影響,不僅風險愈來愈高,資料外洩的威脅也隨之攀升,使用者必須評估雲端供應商的驗證、授權和稽核控制措施是否完善,加密技術合法性、資料刪除方式是否安全、災難復原能力等,才能降低在雲端遺失或洩露資料的風險。
5、帳號或服務被竊取
駭客竊取使用者帳號並非新議題,攻擊方法不外乎釣魚、詐欺及利用軟體漏洞,但在雲端環境裡,這類問題所造成的衝擊更大。因為在傳統IT環境下,使用者擁有硬體控制權,可透過一些補救措施,降低帳號或服務被竊的損失;但在雲端環境中,使用者沒有控制權,可能也無法執行補救措施,甚至還必須設法證明自身為帳號或服務的合法使用者,否則駭客很可能完全取代原先使用者的身分。
6、其他未知的風險
目前市場上在談論雲端應用時,普遍強調其特性、效益與功能,但更深1層的資訊卻往往不太清楚,例如:雲端供應商內部安全流程、平台架構、修補程式、稽核制度、Log紀錄、如何儲存客戶資料、誰有存取權利等,諸如此類的問題,其實都沒有清楚的答案,也沒有公開的監督機制,偏偏這些資訊是用以評估雲端平台安全程度的要素,倘若沒有這些資訊,企業也無法有效評估雲端安全風險。
7、稽核與蒐證
在傳統IT架構下,企業要進行內部稽核與電腦搜證已相當不容易,因為步驟繁瑣,且牽涉層面廣,而當資訊架構雲端化後,企業要執行稽核與搜證作業會變得更加困難,關鍵點在於如何獲得有用且有效的資料,尤其當遇到法律爭議時,如果雲端服務供應商沒有相對應的機制,企業該如何證明資料的有效性與合法性,這是企業必須審慎思考的課題。
資訊產業更新速度快,每隔幾年總有不同話題出現,近2年最火熱的話題非雲端運算莫屬,不只微軟(Microsoft)、惠普(HP)、IBM及Google等資訊大廠強力推動雲端運算,就連各國政府也紛紛投入資源,希望幫助該國廠商在雲端產業取得一席之地,包括日本、韓國、大陸、歐盟各國及台灣,皆是如此。
剖析雲端運算7大安全威脅
傳統資訊架構,所有IT相關的軟硬體設備與人員(如伺服器、儲存設備、程式開發人員等),都在可掌握的公司環境內,因此,無論要執行安全管控或事後稽核,皆非難事,然而當一切放上雲端後,資料的儲存與運算處理,可能分散在雲端各個角落,安全控管與維護將變得更不容易。
究竟採行雲端運算會帶來哪些安全問題?雲端安全聯盟(Cloud Security Alliance)在2010年3月發布的《Top Threats to Cloud Computing V1.0》報告中指出,雲端運算正面臨7大安全威脅,其中,除了第1點比較針對雲端服務供應商來探討外,其餘6點皆是使用者應注意的安全威脅,提供給準備朝雲端發展的企業參考。
1、不安全的介面與應用程式介面(APIs)
雲端服務供應商提供軟體介面或應用程式介面,以便用戶使用雲端服務,因此,這些介面的安全性,與雲端服務的安全性與可用性息息相關,倘若雲端平台提供第3方供應商的加值服務,則這些服務的使用介面,也可能會增加原本應用程式介面的複雜性及風險,企業必須一併加以考量。
2、惡意的內部員工
此處指的是雲端服務供應商的內部員工,他們是最有機會接觸企業資料的人,但是企業卻不知道他們如何被規範,也許連招聘的條件與方式都不清楚,這些未知都是1種潛在威脅,畢竟「人」是作業環節中最難管控的部分,再加上雲端平台又最容易接觸到各企業的資料,所以內部員工竊取資料的風險相對高於一般企業組織。因此,企業擁抱雲端的第1步,就是瞭解雲端服務供應商對其內部員工的管控規範原則,以降低潛在未知的安全風險。
3、共享環境所造成的議題
採用雲端運算之所以能降低成本,關鍵在於善用資源,使用者看似擁有獨立運算環境和資料儲存空間,實際上卻是與他人共用1台主機,只不過透過虛擬化技術,在實體環境上產生多個虛擬空間,此時,雲端服務供應商如何儲存及保護客戶的資料?不同企業平台能否有效隔離、避免彼此存取對方資源?這些都是雲端運算安全的重大挑戰。
4、資料遺失或外洩
資料遺失或外洩的方法有很多種,例如:在沒有備份的情況下刪除或修改資料、遺失加密金鑰導致資料被破壞等,對企業來說,資料遺失或外洩所造成的影響,絕對不是只有金錢損失而已,還包括商譽受損、客戶不信任等無形衝擊,而雲端環境受到平台架構與運作特性影響,不僅風險愈來愈高,資料外洩的威脅也隨之攀升,使用者必須評估雲端供應商的驗證、授權和稽核控制措施是否完善,加密技術合法性、資料刪除方式是否安全、災難復原能力等,才能降低在雲端遺失或洩露資料的風險。
5、帳號或服務被竊取
駭客竊取使用者帳號並非新議題,攻擊方法不外乎釣魚、詐欺及利用軟體漏洞,但在雲端環境裡,這類問題所造成的衝擊更大。因為在傳統IT環境下,使用者擁有硬體控制權,可透過一些補救措施,降低帳號或服務被竊的損失;但在雲端環境中,使用者沒有控制權,可能也無法執行補救措施,甚至還必須設法證明自身為帳號或服務的合法使用者,否則駭客很可能完全取代原先使用者的身分。
6、其他未知的風險
目前市場上在談論雲端應用時,普遍強調其特性、效益與功能,但更深1層的資訊卻往往不太清楚,例如:雲端供應商內部安全流程、平台架構、修補程式、稽核制度、Log紀錄、如何儲存客戶資料、誰有存取權利等,諸如此類的問題,其實都沒有清楚的答案,也沒有公開的監督機制,偏偏這些資訊是用以評估雲端平台安全程度的要素,倘若沒有這些資訊,企業也無法有效評估雲端安全風險。
7、稽核與蒐證
在傳統IT架構下,企業要進行內部稽核與電腦搜證已相當不容易,因為步驟繁瑣,且牽涉層面廣,而當資訊架構雲端化後,企業要執行稽核與搜證作業會變得更加困難,關鍵點在於如何獲得有用且有效的資料,尤其當遇到法律爭議時,如果雲端服務供應商沒有相對應的機制,企業該如何證明資料的有效性與合法性,這是企業必須審慎思考的課題。
沒有留言:
張貼留言