揭秘雲安全的五大盲區

當我在閱讀各種博客、IT 產業分析以及媒體報導時，我發現許多矛盾的觀點。 某些作者認為雲計算較為安全，有些則特別強調新的安全挑戰。 由於「雲」的概念目前仍在雛形階段，因此到處充斥著許多似是而非的論點。 以下是我最常聽到的五大雲計算盲區： 盲區1 基礎架構服務（Infrastructure-as-a-Service，簡稱 IaaS） 供應商所提供的虛擬私人「雲」就像企業內部資料中心一樣安全 虛擬私人「雲」 是IaaS領域所衍生出來的新興概念，可讓企業透過VPN連線至「雲」的資源，IaaS廠商會提供一段企業專屬的IP範圍。 這種運算方式的問題在於您仍舊與其他企業共用硬體資源與切換式網路，彼此間僅藉由虛擬區域網路（VLAN）隔離。 然而組態設定錯誤的情況時有所聞。 根據最近一份研究顯示，澳洲有31%的資訊外泄事件是「協力廠商廠商如雲計算或SaaS供應商的錯誤所造成」。 盲區2 您不需要一家以上的IaaS供應商 將所有雞蛋都放在同一個籃子，萬一籃子打翻了就很危險，雲計算也一樣。 雖然採用單一IaaS供應商較容易管理，但卻也形成單一故障點。 仰賴單一IaaS供應商的風險是，萬一廠商遭到分散式阻斷DDOS攻擊，企業的運營就可能發生中斷，就像Bitbucket的例子。 另一個單一故障點（SPOF）的例子是 Rackspace，一輛卡車撞上了某個變電箱而導致Rackspace資料中心電力中斷，業務因而停擺。 由於意外在所難免，因此，要防止單一故障點，就要擁有一家以上的IaaS供應商。 建立備份據點是達成災難復原的主要方法之一，雲計算的時代也一樣。 企業或許不需要一個熱于待命的失敗點，但卻應該規劃並測試如何在需要的時候迅速將運營切換至第二家供應商。 雖然像Amazon「可用性區間」這類的作法可降低上述風險，但並不能完全消除單一故障點的可能性。 盲區3 私人「雲」同樣也適用實體資料中心的安全方案 其思維邏輯是，資料中心原本的邊境防禦就已成效良好，而私人「雲」也受到同樣的保護，所以應該沒問題。 只可惜，情況通常並非如此。 私人」雲」 有其新的挑戰，這些挑戰是傳統靜態資料中心所沒有的。 虛擬化與雲計算加大了攻擊面，共用儲存就是一個例子。 另外還有一些新的狀況，例如系統管理員不小心用 vMotion 將某個伺服器從安全區域移到DMZ。 此外，VLAN 組態設定錯誤也可能導致資訊未妥善隔離。 還有，同一個vShield區域內的VM之間不受監控的資訊流量呢？ 在一個混合式」雲」環境中，當一個應用程式移到」雲」，其虛擬機器器周圍卻沒有安全防護將會如何？ 仰賴IaaS廠商所提供的基本防火牆規則，甚至連IDS/IPS也沒有，可能會讓某些企業感到不安。 盲區4 「雲」服務供應商會負起安全的責任 雖然SaaS或PaaS服務供應商通常會在服務條款中提供安全保障，在IaaS領域卻不然。 雖然IaaS廠商會採取一些安全措施，並且在文宣中強調其安全措施，但IaaS環境的安全性終究是企業與IaaS 廠商應該共同負擔的責任，而且，最終的責任通常還是落在企業本身。 IaaS供應商的服務條款中有關安全的章節應該會強調這一點。 不僅如此，雖然供應商會負起安全的責任，但萬一發生資訊外泄事件，企業本身仍舊須承擔最終的責任。 畢竟，那是您的資訊。 盲區5 我的「雲」服務廠商有SAS 70 Type II程式，因此我的資訊安全無虞 SAS 70 Type II內核的確是不錯的安全基礎，也是確保廠商在檢查期間安全控管措施正常運作的一項工具，但這並不等於安全性。 而且可能給人一種安全感的假像。 內核所看的是過去的狀況，雖然過去的績效對未來具指標性 （至少在資料中心安全方面），但絕非未來的保證。 一旦公司發生大規模或不預期的人事變動，就可能讓原本扎實完整的安全措施一夕之間瓦解。 此外，SAS 70也無法防止心生不滿的員工對公司或客戶挾怨報復。 SAS 70 Type II內核無法檢查內核範圍以外的專案。 在內核檢查表上的專案您或許嚴格控管，但漏洞卻可能在檢查範圍之外。 再者，任何流程的內核都無法涵蓋執行流程的人。 廠商的用人原則為何？ SAS 70 Type II內核並不一定涵蓋用人原則。 凡人都可能犯錯，當然也絕非完美。 SAS 70審查並沒有一套標準作法。 這類內核是內核者與受內核對象彼此共同設計出來，目的在於測試特定業務流程的控管措施。 而控管措施可能無法包山包海，所以，在原先預定之外的專案，即使對業務服務很重要也不在測試範圍內。 因此，在將關鍵業務流程交給任何服務供應商之前，您應該對 SAS 70內核有所存疑。 而且，理想的內核不應該只專注于資訊安全，而是應該延伸至服務永續性、廠商管理、備份復原、人事制度等其他領域。 不論公共「雲」或私人「雲」在降低成本、提升企業靈活度方面都能提供優異的企業價值。 不過，建議您在挑選之前還是應該先認清其中的安全挑戰。 【編輯推薦】雲安全概念入門——雲安全技術專題東方趨勢：雲安全找回管道價值【責任編輯：許鳳麗 TEL：（010）68476606】 原文：揭秘雲安全的五大盲區 返回網路安全首頁