上一期我們說明了關於雲端服務的相互運作與可移植性,這是屬於雲端治理部分的最後一項安全領域,接下來將解說雲端營運的部分,會牽涉到許多的技術性安全議題,這也是大多數組織較為重視的地方,和IT單位也會有更密切的關係。
營運持續計畫的有效性在整體的營運持續管理中是最重要的一環,如何證明其有效性,就來自於營運持續計畫是否完整、是否符合現況,以及是否有足夠的資源可以順利實施。
在之前的雲端治理與風險管理中曾經提到,服務供應商在營運持續計畫中至少要具體說明事故發生時的應對策略、處理流程、備援機制及災難復原計畫等內容。
在應對策略方面,包括了需要成立危機應變小組(Emergency Response Team,ERT)與事件處理小組(Incident Response Team),清楚定義人員的職責與工作;在處理流程方面,至少需要涵蓋偵測、通報、判斷、處理與記錄五項流程。
萬一災難已經造成損害,需要進行各項設施或資料復原時,就要依照當初風險評鑑的結果,針對系統風險等級所設定的優先順序,以及所要求的資料復原時間點(Recovery Point Objective)和復原目標時間(Recovery Time Objective),依序進行還原。另外,在災難復原計畫中,也要說明在復原過程時所需要的基本安全控制,包括復原場所的安全、人員的安全職責等。
實務可行的作法與建議
在雲端安全聯盟(CSA)所提出的雲端運算關鍵領域安全指南中,針對傳統安全、營運持續與災難復原的建議,包括:
1.雲端服務供應商針對用戶所需的安全要求,應該建立一個安全基準,像是系統管理、實體環境安全、人員作業程序、事件處理等,在一開始提供服務時,若能制定較為嚴格的安全要求,長遠來看除了能夠確實符合客戶符求之外,也比較會符合成本效益。
2.雲端服務的用戶,應該盡可能地實際到場檢查雲端服務供應商的各項安全措施,檢查項目至少要涵蓋資訊基礎設施、實體安全、營運持續管理等,但礙於雲端服務多租戶的特性,傳統的一對一的系統稽核方式可能會難以進行,因此參考第三方的獨立稽核報告,或是與其他用戶一起進行查核,會是比較可行的做法。
3.在雲端服務之中,雲端服務供應商的內部人員是一項主要的風險因子,因此在安全管理要求方面,用戶應該確認是否有專業的資安管理人員(例如持有CISSP、CISM、CCSK等證照),並且了解人員的職務運作和訓練情況,確認符合了職責分離與最小權限原則。
4.在營運持續方面,用戶應檢視合約或服務等級協議中有關營運持續的流程與要求,確認服務供應商所提供的營運持續計畫、災難復原計畫和演練記錄。如果供應商已獲得如BS 25999或ISO 22301的營運持續管理標準驗證,或是可證明其營運持續管理已遵循了以上標準,對用戶來說將會更有保障。
5.針對SaaS、PaaS、IaaS等不同的服務型式,需要了解並確認服務供應商和其本身與服務供應商的依存關係,以避免因為資安風險繼承的緣故,而導致用戶的權益受損。
隨著雲端服務的日漸普及,服務供應商將會面臨客戶的要求來進行稽核,或是需要提供客戶自我稽查或第三方查核的證據,因此需要保留的文件記錄,在傳統安全、營運持續與災難復原方面,至少包括了人員職務分配表、使用者權限管理和審查記錄、系統組態變更記錄、相關人員的保密協定、營運持續和災難復原計畫、稽核報告、預防或矯正行動計畫等,這些都是可作為已落實有效安全管理的證明。
參考資料
CSA: Security Guidance for Critical Areas of Focus in Cloud Computing