在正式導入雲端運算政策時,主要的兩難之一就是無法就雲端運算的定義達成共識。然而,不論各單位如何定義雲端運算,都應該要有一套使用雲端的策略及政策。
安全防護專業人員持續面臨的雲端安全問題在於:即使現今企業多半對雇用雲端服務供應商感到卻步,但事實上員工已大量在使用應用程式,尤其是軟體即服務(SaaS)。
Gartner研究副總裁Jay Heiser在Gartner安全與風險管理高峰會中問道:「你找到雲端安全領域裡的那個金髮女孩(Goldilocks)註1了嗎?實際上,往往沒有一種企業的雲端或安全政策是所謂的『真命天子』。雲端運算為企業製造了許多複雜的狀況,而從安全和風險管理的觀點來看,一些處於模糊地帶的狀況尤其難以應付。」
在正式導入雲端運算政策時,主要的兩難之一即是無法就雲端運算的定義達成共識。資訊安全長(CISO)認為雲端運算是一種運算的形式,但企業其他部門則將雲端運算視為「透過網際網路存取的事物」。然而,不論各單位如何定義雲端運算,都應該要有一套使用雲端的策略及政策。企業應強調以下三大主要領域內的雲端安全問題:
1. 多租戶模式
在多租戶模式下的企業將與其他顧客分享空間,在服務彈性的提供上有一定限制,而且安全性也是一大疑慮。事實上,在那些不打算使用公有雲的企業中,有38%認為安全及隱私是其主要顧慮。然而,企業也有可能是利用安全/?隱私做為害怕交出資料控制權,或是不想對企業現有營運模式做出重大改變的藉口。
2. 虛擬化
虛擬化需要為雲端環境提供不同的漏洞管理和修補程序,企業組織將使用不同工具來管理虛擬機器。此外,由於虛擬化具備複雜、動態與分散的特性,也意味著將不會再有「警示燈號」之類的傳統實體安全警告提示。
3. SaaS軟體即服務
SaaS應用程式可提供進階的安全與控制功能。但由於大多受到終端用戶控制,因此只提供最低的透明度,而且無法量身訂做。更複雜的是,許多企業至少會使用200種以上、甚至上千個SaaS應用程式。到頭來,資訊安全長還是必須往遠處著眼,決定如何才是最好的時間與資源分配方式,以便應付SaaS情境中產生的風險。
資訊安全長可以將SaaS應用程式劃分為三種等級:
第一級:80%的市場都集中在100項雲端服務裡。這些雲端服務都是經過考驗的選項,雖非全無風險,但企業組織仍應著重於安全性,並且小心使用。
第二級:這類公司通常為大品牌企業,已就雲端服務進行實驗超過五年,但仍未成為公司主要業務項目。通常是垂直導向的策略性應用程式,缺乏第三方評估。資訊安全長應將公司的資源與評估集中於此。
第三級:第三級雲端運算應用程式的數量有好幾千個,但不要認為小型雲端服務商(CSP)很安全,或具有財務償付能力。其衍生的相關風險或許還算可以接受,但使用第三級雲端服務商時要多加小心。
註1:Goldilocks一詞普遍用來形容不冷不熱、溫度適中的經濟狀況,在此比喻剛剛好、最適合企業的雲端政策。
(本文作者現任Gartner品牌內容經理)