雲端資料安全防護與管理

在雲端安全聯盟（CSA）所提出的雲端運算關鍵領域安全指南中，針對資料安全的維護，認為它與一般所談的資料生命週期有所不同，必須要配合資料安全的生命週期中的各個階段，實施對應的各項安全控制措施才行。

所謂的資料安全生命週期，可以區分為以下六個階段：

1.產生（Create）：資料一旦產生，首先要做的就是針對資料進行分級分類，最常見的安全分類是將資料區分為一般、內部使用、機密、極機密等，再分別對應到不同的存取控制和安全處理要求。

2.儲存（Store）：在資料的儲存階段，需要針對資料實施存取控制，依照用戶所具有的身分來賦予適當的權限。另外，相關的控制措施還包括了資料加密、權限管理及資料內容的過濾等。

3.使用（Use）：在資料使用階段，安全的控制措施包括了針對存取資料的活動進行監控，並且需要依照所定義的政策來使用，在這裡也同樣會實施權限的管理。如果資料將會提供給應用程式存取使用，那麼應用程式的安全防護也會是必要的措施。

4.分享（Share）：資料如果需要進行傳輸或資料交換，除了實施加密機制、存取控制和確保所使用的應用程式本身的安全之外，建議的控制措施還包括可針對資料所流經過的位置，例如存放的資料庫、行動裝置與儲存媒體、採用的網路通訊協定等層面來實施安全管制，以避免資料受到不當的外洩。

5.歸檔（Archive）：如果資料需要進行長時間的備份歸檔時，要注意的是所使用的儲存媒體是否已經具有足夠的安全防護，包括了資料內容進行加密處理，針對儲存媒體所存放的環境和位置來實施有效的監控與防護，以落實有效的資產管理。

6.銷毀（Destroy）：一旦資料確認不需要再使用，或是終止與雲端服務供應商的合約關係時，相關的資料就應該進行安全的銷毀，並且要偵測掃描是否可能有殘餘的資料，如果無法確保資料已經徹底刪除，那麼對資料內容進行高強度的加密，並且銷毀所使用的金鑰，也算是一種補償性的安全控制措施。

資訊傳輸與安全建議

如果組織對於資料傳輸有高度的安全性要求，雲端運算關鍵領域安全指南也給予我們三項可行的建議作法。

首先是可針對用戶端和應用程式來進行加密，如果資料存放在用戶端設備或透過應用程式傳輸之前，就能夠實施加密，資料安全將會獲得較多的保障。

其次是針對網路連線的加密，可以透過硬體設備或軟體方式，建立所需的加密連線通道，常見的作法包括SSL、VPN、SSH等，確保在點對點之間已實施了安全防護。

第三項作法是採用代理伺服器（Proxy-based）的加密方式，這對於一些較為老舊或缺少加密功能的應用程式來說，最大的好處是在傳輸資料之前，能夠將資料先傳輸到代理伺服器，再透過它來實施資料加密功能。

針對資料安全的防護與管理，傳統最基本的作法就是考量如何達到資料的機密性、完整性和可用性，這些在雲端時代仍然是可用的，只是如今一旦把資料放入到雲端之中，隨著部署模式與服務型式的不同，將會衍生出其他的安全風險，並且也會遭遇到不同的挑戰。

若仍然是完全依照傳統的資料保護作法來進行，很可能會水土不服而難以因應，所以這時候組織就需要採取更多角度的控制措施了。

參考資料
CSA: Security Guidance for Critical Areas of Focus in Cloud Computing