中華電信：IDC的雲安全

在過去一年中，在全球範圍內大型資料洩露事件層出不窮。 今年4月23日下午13時，美聯社推特帳戶被駭客盜用發佈了「白宮被炸」的假新聞，令美國股市股指出現短暫性暴跌。 在虛假消息被澄清後，股指又很快恢復到原有點位。 正是美聯社採用了低安全級別的IT消費者化平臺，給駭客利用IT系統操縱新聞，從股票漲跌中牟取利益的可乘之機。

根據趨勢科技最新的調查和研究結果表明，企業的資料洩露平均損失已經上升為370萬美元。 90%的組織正在遭受活躍的惡意軟體入侵，但其中55%的使用者卻渾然不知；91%的APT攻擊都開始于魚叉式釣魚攻擊。 如何保護公司資訊資產，如何以更智慧的管理和防護方式應對新形勢下IT威脅？ 在這方面，為企業提供雲服務的電信運營商，更要對雲應用安全和虛擬化安全未雨綢繆。

中華電信是臺灣最大的電信運營商，並致力於成為最便捷的IDC公司。 中華電信在提供雲計算服務時，直面的是像亞馬遜AWS這樣的國際競爭對手。 所以，為使用者提供更加安全的IDC服務，成為中華電信追求的目標。

中華電信在設計雲資料中心時，除追求環保、節能、可靠及企業社會責任等原則外，還特意將資料中心虛擬化衍生出來的安全威脅重點規劃在內。 通過所屬研究機構中華電信研究院資料通信安全研究所，建立自主及先進的資訊安全防衛技術，以期實現資訊安全防衛。

去年2月，國際雲安全聯盟（CSA）發佈了2013年雲端安全的9大威脅，分別是資料洩露、資料丟失、帳戶劫持、不安全的API、拒絕服務攻擊、內部人員的惡意操作 、雲計算服務的濫用、雲服務規劃不合理及共用技術的漏洞問題。 「在這9大威脅中，我們最大的不同在共用技術漏洞一項。 」中華電信研究院資料通信安全研究所研究員劉順德在近日趨勢科技高端CIO峰會上接受《商業價值》記者採訪時表示，「雲端消費者擔心雲端的安全性，比如上傳的資訊會不會被攔截？ 別人受到攻擊後，會不會殃及自己？ 這些問題都是由計算中心虛擬化而衍生出來的，從而讓使用者對使用雲端產生疑慮。 」

「雲資料中心的安全要兼具傳統與新興雲防禦機制，並需要全自動的公司資訊安全政策監控機制。 」 劉順德說。 所以，中華電信在雲安全制定方面，除傳統安全外，還加入了虛擬化安全，並在政策上落實。 比如，在符合中華電信資訊安全實施細則的情況下，每一部主機及所處環境都應當遵循安全要求，但虛擬化下主機的複製及搬移相當便利，如何確保當虛擬主機被搬移或複製到另外一個地方的時候，也能夠持續符合安全要求， 這就是在雲端治安上新興的一個很有趣的話題。 中華電信在遵循標準法規方面，從參考、符合和遵循等三個層次逐一推行。

除法規遵循外，實體安全和備份也是非常重要的一環。 在虛擬化的過程中，會有虛擬和實體混搭的情況，中華電信除了提供安全防護外，還提供加解密服務。 例如，針對VM檔管理，中華電信採用了SafeVM全加密機制，可駐點虛擬主機映射檔運行中均自動加解密，即使VM被駭客入侵，映射檔被竊取，資料為加密狀態而使其無法辨別。 除了VM外，對不喜歡整個加密的客戶，中華電信還提供外掛硬碟加密。

為了給客戶提供更好的安全，中華電信在實體機和虛擬機器部分快速部署雲端安全的機制，一方面資料中心和雲平臺免遭資料洩露和業務中斷，並降低運營成本。 另一方面確保物理、虛擬和雲環境中伺服器的應用程式以及資料的安全。

劉順德表示，資料中心建設向虛擬化發展已是必由之路。 在建立雲資料中心時，資訊安全應在構建前重點考慮。 他還提醒說，資訊安全防護是一個流程，並沒有一次性的解決方案，需要一個持續的維護團隊。 另外，除了好的設備，還需要好的專家協助，才能做更好的IDC資訊安全防護。