科技日新月異,對企業來說已非新鮮事,目前相當熱門的雲端運算為企業帶來效率與競爭力,雖讓許多企業躍躍欲試,但大部分仍抱持觀望的態度,其中安全風險的問題是企業考量的主因。
當企業組織在權衡雲端服務同時帶來的優勢與風險時,市場上已充斥著全新的雲端安全方案。實際上,在眾多重要的雲端安全風險討論中,SSL(Secure Sockets Layer)憑證已脫穎而出,這項在網頁伺服器和瀏覽器之間以加解密方式溝通的安全技術標準,已被廣泛視為可保障敏感資料傳輸的簡易加密和憑證方法。
有人會認為「SSL是一項Internet 1.0年代的技術,雲端才是未來。」其實,雲端服務是指大量資料穿梭在不同的伺服器及端點裝置間,因此需要強化傳輸上的安全,而在傳輸安全機制當中以SSL憑證最為完整和成熟,當企業轉換至雲端運算環境時,許多優勢也讓它成為企業雲端安全方案的首選。
例如,不怕資料與企業分家。雲端運算環境中最令企業擔憂的,是將重要的敏感資料交給雲端服務商管理和儲放;對此,企業應嚴格要求其廠商提供SSL加密服務,當資料在伺服器間或與瀏覽器間傳送時,可以保障其資料不被攔截;另外,亦需有SSL裝置驗證功能,讓資料在大量端點裝置之間傳送時,可確認只有對的人才可以存取資訊。
另外,SSL加密機制也可讓企業在法規遵循無障礙。新版個資法將是企業未來運作時,需面對最嚴峻的法規遵挑戰,若採用SSL加密機制,可防止受保護或私密的資料意外被揭露,也不會讓未授權的存取對象閱讀資料內容;此外,這項技術更可提供便捷的自動審核作業。
然而,當企業選擇雲端服務供應商時,必須嚴格檢視廠商所委託的SSL服務供應商之規模、可信度等評估依據;並非全部有聲譽的廠商均提供相同的SSL機制,當企業檢視其雲端服務供應商時,務必確保是否符合以下條件:
- 支援至少AES 128位元,甚至是更強的AES 256位元加密技術。
- 具備一套嚴謹的授權審核機制並由第三方可信賴的獨立機構審核。
- 擁有最高規格的資料中心及最佳化災難復原機制,以確保資料防護及可用性。
雲端運算是未來的IT架構,在選擇雲端服務供應商時,不必為眾多複雜的新型雲端安全解決方案苦惱,其實,傳統SSL加密與憑證機制也能成為處理雲端安全傳輸的寶貴工具。
(本文作者現任賽門鐵克台灣區總經理)