經過十幾年的發展耕耘,業界對於「資訊安全」的想法已經和最初相差很多。一開始多數人的資訊安全概念都始於對系統外來威脅的防護,再來進化到了對系統單點錯誤的容錯處置。然而隨著知識的演進和科技的變化,資訊安全就像戰爭般開始強化多層次與縱深防禦,例如早期採取內外層不同性質防火牆,到現在以管理層的策略串起各層次防護的實踐,並搭配對人員的教育訓練等等。
重新定義元件範圍及處理方式
除了上述這個順勢產生的簡例之外,由於雲端化涉及到的情況彈性而複雜,因此更需要將資訊安全的概念進一步轉化為資訊健康。附圖描繪了整個雲端結構各參與者和被運用資料之間的連結關係,我們不難發現一個問題浮現,亦即是現在要做的不僅僅為克服自有控制環境下的威脅,還要做到在複雜的關聯結構下避免風險。在以往的「資訊安全」措施,我們可能會採取的一些做法如下:
- 計謀類:例如HoneyPots、Proxy以及Dynamic addressing、NAT或Virtual Hosts等。
- 保護類:像是IPS、Firewall、Access Control等。
- 抵抗類:如Password、Encryp-tion、CMDB等等。
而現在我們從資訊安全進化到「資訊健康」更需要的做法像是:
- 定義元件:如Defining Users、Defining Applications、Defining Data、Defining Roles、Defining Processes、Defining Policies以及Defining Standards等等。但並不是說過去不需要定義,而是現在比過去更難於精準定義,卻也更需要精準定義。
- 劃分邊際(或說打破邊際):在過去的「DMZ」概念貌似無法延續了,試想如果有一個所謂Features-Rich的Web Application甚或是一個大程式中的小插件,又或是被應用的一筆資料,它可能會與很多3rd-parties共有或共用,如何劃分邊際更需要著墨與討論。
- 處理方式的完善化或精緻化:例如Acceptable using policies、Data classification policies、Data handling policies、Data retention policies、Emerging policies等等。
另外可能有一個問題不難被發現,就是「信任與被信任」的情結。不管企業或個人使用者,應該多少都有將資料存放在雲端空間上的需求,像是資料存放於Dropbox或Google Drive等服務上。然而這個舉動更需要深刻的思考信任問題,就像銀行保管箱使用者相信銀行不會弄丟或偷看自己在保管箱的物件一樣。不過,「信任」也許只能算是資訊安全的領域,要進化到資訊健康,可能還要在定義元件與處理方式上更加強化。比方說,定義某某類型存放在雲端服務的資料必須另行加密處理的措施,當然市售有很多為存放雲端資料加密的工具,像是Boxcryptor.com所提供的服務,或如Sophos的產品SafeGuard Enterprise中提供的Cloud Storage Encryption功能。
由工作者行動化與空間彈性化角度切入
伴隨著雲端化、BYOD還有網速飛快的進步,行動化的環境可以說已然是最基本的工作介面,雲端化與行動化打造的架構,就像一根透明的繩子繫著兩端,一端是行動化的使用者,另一端是雲端化的資源,而上面搭載的是行動化軟體(Mobile Application,App)。
Apps的上傳發佈、下載部署以及與其他元件的相互連結作用,都涉及很多潛在關於資訊安全甚或是資訊健康的問題。相信很多企業及使用者都早已意識到Mobile Apps帶來的新挑戰。發佈和接觸各種Mobile Apps的第一個步驟應該是形形色色的「Apps Store」,常見的公用App Store例如Google Play或Mac App Store大概是接觸率最高的兩大公開軟體市集,也有很多企業正打算或已經著手打造屬於自己的Enterprise Apps Store。當然在Apps Store和Mobile Application之間會有一些資訊安全的措施,常見的重點如:
- Distribution安全性的強化:對潛在的使用者區分不同的群組,並設有Credential的機制。
- Content delivery的強化:如AppWrapping的保護機制。
- Meshups的運用:非但方便了Coding開發,也可避免過多Source raw data的曝光機率。
掌握服務導向與商業流程重點
關於Mobile Apps的資訊安全實踐,在網管實務面通常可以運用各家廠商的MAM Solutions來達成各企業不同的需求。例如Good Technology的Good for Enterprise系列,以及Sophos Mobile Control等等產品。然而,當視野從資訊安全演繹成為資訊健康,就值得思考玩味了。
深層的想,這方面脫離不開兩個主題,就是SOA(Service-oriented Architecture)和BPM(Business Process Management)。利用SOA和BPM的作法來達到「資訊健康」的企業IT體質,根據Gartner的SOA Governance requires的說法,SOA需要達到「RACI」的識別,也就是「Who is Responsible for the service ?」、「Who is Accountable ?」、「Who is Consulted ?」以及「Who is Informed ?」。而BPM則是完善了SOA的流程,導入BPM商業管理流程,避免了冗餘的流程,也降低了風險產生率。
「資訊安全」是必然要達成的底線目標,而「資訊健康」則是逐漸形成的更有利狀況。就好比吃藥可以治病,但必須要做好日常運動才能強身的道理一樣。
<本文作者吳佳翰,現任協科資訊技術顧問一職。曾撰寫公務人員高考電腦網路用書,擁有Sophos認證工程師(Sophos Certified Engineer)、Sophos認證架構師(Sophos Certified Architect)、Sophos認證服務提供管理員(Sophos certified MSP)及Sophos認證銷售顧問(Sophos Certified Sales Consultant)等證照。>