論壇文章
擁抱雲端服務的三大金律
下一篇 - IT營運管理:動態成主流

擁抱雲端服務的三大金律

撰文 | SafeNet 亞太區副總裁陳泓
雲端環境安全性的達成是一項要在信任和控制之間取得平衡的工作。建立與公共雲端服務供應商之間的信任,並且維護對於安全政策的特定控制權

陳泓先生為SafeNet亞太區副總裁,負責管理亞太地區營運及利潤增長,開發合作夥伴並建立行銷網路,並監察整個地區的業務運作。

陳泓先生是資訊安全領域的資深業者,擁有逾16年的行銷、市場推廣、投資及營運經驗。在加入SafeNet之前,陳泓先生曾於美國任職行銷業務達八年,使他成為一個有能力填補東西文化及溝通差距的資深管理人員。

對亞洲許多企業而言,雲端運算或許仍只是一個停留在空中的想法。不過它已開始變成一個事實,因為在一些成熟市場內已有越來越多企業藉由雲端運算享有諸多成本節省和彈性。

亞洲企業仍未能享有雲端運算的充分潛能,因為他們對於雲端服務供應商在保護他們敏感資料上的能力仍然存疑。一個安全雲端環境的構築,需要訴諸雲端服務供應商和使用者之間的合作。雲端安全性的基礎奠定在使用者和他們公共雲端服務供應商之間的信任,以及內部安全政策管控的維護。唯有當雲端服務供應商和使用者雙方都信任安全性已獲得有效且持續性的部署,能夠確實保護敏感資料,CIO們才能安心的享有充分的雲端運算潛能。

本文探討雲端運算供應商和使用者之間信任關係的三個發展階段,以及朝此一目標邁進的最佳實務方法和技術。

大老闆心中疑問:雲端安全嗎?

雲端運算不再只是一種空想。在成熟市場內已有越來越多企業將雲端運算變成一種事實,享有其帶來的成本節省和彈性IT基礎設施。不過這仍未在亞洲實現。當我詢問CIO什麼是阻礙他們採納公共雲端服務的原因時,答案是可預期而且共通的──安全性。

這並不是亞洲CIO獨特的關切點。事實上,Gartner的一項研究指出,阻礙採納雲端運算的五大因素中,有三個是和資料安全性有關。這並不難理解,尤其如果把僅敏感資料和關鍵應用程式駐留在本國以外的地方,而且是一個CIO無法管控的資料中心,則其所衍生的問題可能有千百種,例如安全侵害、資料流失和資料外洩等。這些問題可以列出一長串。同樣的,有關公共雲端運算服務的效益也是不勝枚舉。彈性的成本結構、較低的初期投資、較短的部署時間等,這些只是其中一小部分。然而,除非企業信任雲端服務供應商,願意將特定的商業資料或程序放到雲端,否則這些效益將不會成為真實。

雲端環境安全性的達成是一項要在信任和控制之間取得平衡的工作。建立與公共雲端服務供應商之間的信任,並且維護對於安全政策的特定控制權,將能夠讓企業安心的享有公共雲端服務的完整效益。

雲端環境安全性的關鍵: 彼此信任

達成此一目標的責任並不是只在CIO身上。很多公共雲端服務供應商也積極的和他們的客戶互動合作,將控制和管理權交還給企業。SafeNet相信這將需要經歷三個信任與技術投資的發展階段。亞洲的公共雲端服務市場仍處於萌芽階段,因此企業和供應商之間的信任層級還維持在最低狀態。假以時日,隨著信任和關係的強化,企業將能夠更緊密的和他們的供應商合作,建構雲端安全性或者甚至最後仰賴供應商執行安全政策。

目前,大多數企業仍處於初期部署階段。他們很可能只將不涉及個人識別資訊的非敏感資料放到雲端。因此,這個階段的關鍵重點在於建立良好的安全措施和服務層級協定(service level agreement; SLA)。

合作第一步 合約看清楚

一如選擇委外服務夥伴的情形,企業除了應檢視夥伴關係的建立之外,也必須注意合約細節。SLA非僅應提供服務可用性層級(availability level),同時也必須明確陳述資料的處理和加密方式。為了將新版本應用程式的相關風險降至最低,合約也應註明在推播(push)新版本升級之前,必須事先通告並取得核准,以避免發生應用衝突和資料流失問題。企業在訂購雲端服務之前,也可以請求參觀資料中心和了解安全設定。萬一發生安全侵害事件,合約應明確註明由什麼人負責特定的調查。這些是企業建立信任的良善措施,長期而言也是與公共雲端服務供應商建立關係的基礎。

儘管從技術層級而言,大多數公共雲端服務提供的管控都相當有限,不過CIO仍然可以做很多事。例如,可以在使用者存取階層部署多因子(multi-factor)認證。透過與公共雲端服務供應商合作,企業可以建置額外的管控,以控制使用者對雲端資源的存取以及管理人員的組態變更授權。在資料階層,企業也可以在將資料送往雲端之前先實施加密。此外,企業可以先確保並管控端點裝置安全,然後才允許它們連接雲端。

第二步:靠虛擬安全設備存取把關

一旦建立較穩固的關係後,我們相信企業將擁有較大的信任,並且降低對雲端的安全控制。在這個第二階段的信任過渡期間,企業可以慢慢將他們自有的安全機制轉移到雲端以保護資料。許多公共雲端服務供應商可以提供虛擬安全設備存取,讓企業可以管理雲端的加密需求和安全政策,同時保留對於安全所有權的完整控制。這類存取服務很可能會以建立在雲端廠商標準方案之上的加值服務形式提供,事實上,一些SaaS廠商已提供類似的強化安全服務。這些安全服務將成為服務供應商擴充市場和建立區別性的關鍵。

最後:擁有安全政策掌控權

隨著公共雲端服務市場的成熟,信任層級可望達到第三階段。企業將可以指定安全政策,並且相信雲端服務供應商的基礎設施可以妥善的執行。企業身為資訊擁有者,仍保有安全政策的設定控制權,同時也擁有核心關鍵文件、證件、識別及其他單元。同時,公共雲端服務供應商也將擁有複雜而強大的安全基礎設施,能夠符合客戶的安全目的,包括強韌的加密、安全的金鑰管理、分級存取控制等。因此,企業對於安全的處理方式擁有最終的決定權。雖然這個目標或許要經歷一段時日之後才會實現,不過企業和服務供應商都應朝此一方向努力。

當我們論及雲端運算的市場商機和商業利益時,我們確實看到了無窮的希望。然而,此一商機唯有當具備高效率的安全性,能夠持續保護敏感資料時才能充分展現。這需要公共雲端服務供應商和客戶雙方的合作。SafeNet擁有以資料為中心的強大安全方案,致力協助雲端服務供應商建立客戶信心,同時讓CIO能夠掌控雲端環境,而不需要犧牲任何安全性、隱私或資料法規遵循。