建構安全的云端運算服務

文/沐港華

在今年8月16日晚上，網絡服務巨擘Google旗下所有的全球服務也宕機1至5分鐘，包括Google搜尋、Gmail、Youtube等網絡服務均短暫停止運作。此次宕機可謂史無前例，據專家估計，全球的網絡流量因宕機而驟降約達40%，Google也因而損失估計約50萬美元。當今，云端運算產業具備軟、硬件資源共享、提升成本效益與使用便利性等優勢，在一片看好的同時，卻也面臨諸多的挑戰，其中，安全議題躍居榜首，它成為限制云端運算發展的重要關鍵因素，能否確保云端運算服務的機密性、完整性及可用性，均將影響廣大用戶未來使用云端服務、或是將數據儲存在云端平臺的意愿。

1 云端運算服務的安全威脅

云端安全聯盟（Cloud Security Alliance，CSA）發 表 的《The Notorious Nine：Cloud Computing Top Threats in 2013》指出，云端運算服務中最常見的9項安全威脅，包括：數據泄漏和數據遺失、審慎評鑒不足、應用不安全、內部員工的惡意行為和網絡攻擊。

2 建構云端安全的方法

傳統數據安全、業務持續和災難復原，用戶應檢視云端服務供應商的環境安全及設備安全，并確認供應商已妥善處理傳統信息安全問題，且已具備詳盡可行的災變復原程序及業務持續運作計劃，以確保萬一發生事故，仍可維持既有的服務水準。相關安全建議如下：

（1）供應商針對用戶所需的安全要求，應該建立一套安全基準（例如：系統管理、實體環境安全、人員作業程序、事件處理等）。

（2）用戶應盡可能地實際到場檢查供應商的各項安全措施。

（3）應確認供應商是否有專業的信息安全管理人員，并了解其人員的職務運作與訓練情況，以及是否符合分工牽制與最小權限原則。

（4）云端服務供應商應參考NIST 800-61（Computer Security Incident Handling Guide），建立信息安全事件應變小組，制訂信息安全事件應變措施與標準程序，確認其緊急應變處理的能力，并依照法規要求進行通報，以避免事件的擴大，應事先了解供應商對于信息安全事件的監控方式與事件處理流程。在合同或服務等級協議中，須明訂信息安全事件的因應處理事項，包括事故相關軌跡記錄的匯集、檢驗、分析與鑒識報告。例如于多租戶的云端環境中發生信息安全事件，須確認如何區隔與事件有關的數據，并且不侵犯到其他用戶的隱私。此外一旦采取系統回復的方式處理信息安全事件，必須確保事件過程的日志記錄被妥善保存，并可提供后續調閱。用戶必須與供應商更緊密地配合進行事件調查。

3 云端環境下應用不安全問題相關建議

針對應用不安全問題，在云端環境下運作的應用程序，必須采取更嚴謹的安全軟件發展生命周期（Secure Software Development Life Cycle, SSDLC），意即于需求分析、設計、開發、測試、上線、維護等每一階段，都必須考慮安全性的需求；在非大幅改變原有的軟件發展流程下，強化相關流程的安全性，并在開發階段即盡早排除安全上的問題，上線后也應定期檢視應用程序是否含有可能的安全漏洞，以便開發、測試及后續的維護成本得以降至最低，相關安全建議如下：

（1）在云端應用程序發展的各階段中，都須進行信息安全的評估或檢測，包括針對云端安全威脅與弱點的評估、程序源代碼的安全性檢測、系統上線前的弱點掃描等。

（2）當應用程序間之通訊須跨越不同主機時，安全通道的建立與傳輸數據的加密是絕對必要的安全措施。

（3）相關應用程序信息可能具有機敏性數據，應重視其執行與存取記錄的存放方式與安全管制。

（4）針對內部員工的惡意行為問題，云端用戶應盡量使用服務配置標記語言（Service Provisioning Markup Language, SPML），搭配安全宣示標記語言（Security Assertion Markup Language, SAML）與可擴展存取控制標記語言（eXtensible Access Control Markup Language, XACML）以存取供應商提供的連接服務，并建議利用身分辨識與存取管理（Identity and Access Management, IAM）的功能，輔助用戶存取云端服務的身分驗證、授權與稽核。即使云端服務供應商所提供的身分驗證功能無法完全滿足用戶的要求，仍建議用戶應避免采用獨特的管理方式，否則將增加身分識別管理的復雜度及未來不易遷移至其他云端服務的困擾。采取業界標準的身分識別方式，必要時，企業也須修改其授權機制，以便延伸至云端服務中。在身分驗證方面，用戶通常有兩種選擇，一種是采用企業驗證，另一種則是由用戶以個人名義，通過普遍的公開服務（例如：Google、Yahoo、Windows live及Open ID等）建立可在多個網站使用的身分驗證機制。

4 結論

自云端運算的概念釋出至今，相關服務仍持續演進與成長，但無論云端技術如何演進，云端運算仍架構在既有的信息技術之上，傳統的信息安全問題在云端上依舊存在，企業組織采用云端運算后，組織的信任邊界從自行管理的有限靜態邊界，轉變成供應商提供服務的動態邊界，面對所衍生的作業安全問題，也衍生出異于既往的思考方向。