網際網路與資訊技術不僅徹底改變通訊的方式,同時也造就了一個新的商業環境,讓企業能藉由採行雲端技術,專注於自己的核心競爭力。然而,備受質疑的是,這是否會為企業重要資料的防護帶來危機與挑戰?不盡然是如此,但的確需要特別警惕進行全盤的規劃。
近來,系統遭到入侵與網路被迫中斷的事件層出不窮,讓許多企業對於要將資訊、應用程式與處理程序轉移至雲端有所顧忌。今年稍早Amazon的EC2雲端網路服務發生故障,導致大量的網站三天無法上線;同一時間,Sony也在駭客攻擊下被迫關閉雲端服務,而且已知被駭客竊取的PlayStation線上用戶資料超過7千7百萬筆。
因為這些事件的發生,讓許多專家和客戶質疑,雲端運算是否會比其他形式的代管服務帶來更多的風險。事實上並非如此,儘管不同的服務模式與技術應用在雲端服務確實會帶來新的風險;而選擇採用雲端運算服務也意味著喪失IT環境的掌控權,即使營運的任務交給別人,但仍然負有全部的責任,但一般而言,雲端運算服務的風險控管,並不會比任何企業組織裡私有資料中心的應用更具挑戰性。
上述的兩種情況,依據風險分析所採行的保護措施,相較於它們所擁有的防護等級是一樣的。這些措施包括實體、網路、系統與資訊安全。它也可能需要其他的保護方法,例如資料存取的政策與規則。
在採用雲端運算服務之前,企業應該面對的最重要問題在於,雲端服務供應商是否有能力提供所需的防護等級?雲端運算吸引人之處,固然是來自其兼具擴充性、統一與標準化所產生的效益,但雲端供應商仍必須盡可能地提供大型客戶所需的彈性,來滿足他們的需求,只是目前看來要達到這樣的彈性,在安全防護工具上顯然不足。這也就是為什麼雲端供應商無法提供像傳統IT環境中同樣等級的安全防護。
如果雲端供應商無法提供值得信賴的安全防護措施,那麼萬一有災難發生時,責任的歸屬勢必是一大問題。好的開始是成功的一半。這不僅適用於雲端服務供應商,對企業組織來說也是,必須規劃如何防護和因應重大災難。
總之,實現雲端服務有許多種方式,但最重要的是:雲端服務必須與安全防護並進。目前並沒有標準的防護措施項目,能夠一體適用所有雲端服務的模式。因此,在邁向雲端服務之前,企業組織應該就所採行的雲端服務模式進行風險分析的評估,確保所需的安全防護措施是可獲得的,同時不會干擾網路與企業運作效能,或是減損雲端解決方案應有的優勢。
(本文作者現任Fortinet台灣區總經理)