GSS 資安電子報0032期【進入雲端前，您不可不知的九項要點】

資安軟體領導品牌Fortify Software創辦人兼副總裁Mike Armistead，建議想要前往雲端的先進們幾項雲端運算的要點。

1. 瞭解何謂雲端
   您或許會問：「什麼是『雲』？」也可能早已使用雲端，卻無頭緒而問道：「如果使用了，我能得到什麼？」。如果您曾使用Google的gmail或是Salesforce.com，那您已經有雲端運算的經驗了。因為兩者皆在雲端的範圍內。但您仍需要花點時間了解學習何謂雲端運算，以及如何使用。此外，雲端模式很有可能是您企業的一項優勢，因為雲端不可能沒由來的這麼火紅。
2. 務必符合法規
   法規非常重要。若組織正在處理信用卡業務、或是儲存醫療、客戶資料，那麼許多法規是您必須遵循的。您花了許多工夫來符合法規，讓公司保持良好紀錄，無庸至疑的，若要前進雲端，一定要了解雲端有何規定，且務必選擇一家做法完全符合規定的廠商。
3. 預測成效
   您想要雲端是什麼樣子，它就會是什麼樣子：它可能是IT基礎架構、應用程式開發建置平台...等。使用雲端之前，仔細想想得到的好處有哪些。您想要大幅減少IT成本？還是快速計算應用程式規模及人數的能力？這樣的思考方向可以引導您找到合適的雲端廠商。
4. 預測風險
   雖然雲端的利益遠大於風險，您仍需率先列出可能的遇到的風險。不管您是否擔心駭客入侵個人資料或是財務紀錄，亦或害怕雲端廠商遭受未預期的停工，您仍需徹徹底底想過一次，採取適當策略，以減少潛在風險。
5. 用功
   您已確認雲端運算符合您的需求、且定義其成效、以及評估出能避免的風險，現在該是您用功找到雲端廠商的時候了。業界有許多新興的雲端廠商，每家的服務範圍皆有差異，也讓人困惑。確保您經過評估而選擇有能力長期抗戰，且在服務、維護、及安全面皆有良好聲譽的廠商。
6. 詢問廠商資安問題
   前進雲端首先意味著擴大IT部門：除了組織內原班人馬外，還有派駐於雲端廠商的人員。他們都像您一樣關心資安的問題嗎？他們提出的資安因應策略合適嗎？所做的資安能確保到何種程度…等等。請您務必積極找出這些問題的答案。
7. 首先考慮軟體安全
   駭客都很聰明，他們早就知道如何穿越防火牆、過濾垃圾郵件等其他護城河來到城堡內竊取資料。但您知道他們絕大多數都是透過軟體的缺口而來的嗎？其實有百分之七十五是在應用程式層攻擊，因此，在適當的地方安置適當的解決方案，才能有效地幫您辨別，且能依嚴重等級優先處理軟體安全漏洞。同時，您需注意雲端廠商是否也同樣進行。
8. 執行安全運算
   軟體安全不僅止於雲端，您的IT環境不管是否使用雲端，也需將安全列於首選，例如共享資源、外包廠商、內部開發團隊、第三方軟體供應商等等。應用程式先天就容易有漏洞，除非開發階段已將安全列入考量。若組織內已將軟體安全列入首選，只要您確保資料是安全的，那麼任何運算模式的利益皆可輕易取得。
9. 充分利用現有資源
   好好研究雲端運算吧！因為不是一朵雲就能解決所有問題。同時研究最佳資安慣例，這麼一來，不管IT部門或應用程式在哪開發，您都會覺得安全。NIST絕對是一個取得雲端知識的好所在，Cloud Security Alliance也能提供絕佳的雲端安全知識。