雲端運算安全
雲端運算安全(Cloud computing security),有時也簡稱為「雲端安全」(Cloud security),是一個演化自電腦安全、網路安全、甚至是更廣泛的資訊安全的子領域,而且還在持續發展中。雲端安全是指一套廣泛的政策、技術、與佈署的控制方法, 以用來保護資料、應用程式、與雲端運算的基礎設施。雲端安全無法與「基於雲端」(cloud-based)的安全軟體(安全即服務,Security as a Service)混為一談,後者是如商業軟體廠商所提供的基於雲端的防毒或弱點管理服務。[1]
與雲端相關的安全議題
與雲端運算安全性有關的議題或疑慮[2]有很多,但總的來說可將其分為兩大類:雲端服務提供商(提供軟體即服務、平台即服務、或基礎設施即服務的組織)必須面對的安全議題,以及這些供應商的客戶必須面對的安全議題。在大部份的情況下, 服務提供商必須確認其雲端基礎設施是安全的,所以客戶的資料與應用程式能夠被妥善地保護;另一方面,客戶必須確認服務提供商已經採取了適當的措施,以保護他們的資訊安全。
雲端安全的面向
雖然雲端安全議題可被分類成各種面向(Gartner 宣稱有 7 大安全面向[3];Cloud Security Alliance 則指出 13 項安全疑慮[4]),但這些面向可被歸結為 3 大領域[5]:安全與隱私、規範遵循、以及法律或契約議題。
安全與隱私
為了確保資料是安全的(不能被未授權的使用者存取,或單純地遺失),以及資料隱私是有被保護的,雲端服務提供商必須致力於以下事項:[5]
資料保護
為了妥善保護資料,來自於某一客戶的資料必須被適當地與其他客戶的資料隔離;資料儲存在原來的地方,或是從一個地方移至其它地方,都必須確保它們的安全。雲端服務提供商必須有相關的系統,以防止資料外洩或被第三方任意存取。適當的職責分權以確保稽核與與/或監控不會失效,即便是雲端服務提供商中有特權的使用者也一樣。
實體與個資安全
雲端服務提供商必須確保實體機器有足夠的安全防護,並且當存取這些機器中所有與客戶相關的資料時,不只會受到限制,而且還要留下存取的記錄文件。
可用性
雲端服務提供商必須確保客戶可以定期、如預期地存取他們的資料和應用程式。
應用程式安全
雲端服務提供商必須確保透過雲端所提供的應用程式服務是安全的,外包或套件的程式碼必須通過測試與可用性的驗收程序。它還需要在正式營運環境中建立適當的應用層級安全防護 (页面存档备份,存于)措施 (分散式網站應用層級防火牆)。
隱私
最後,雲端服務提供商必須確保所有敏感性資料(如信用卡號碼)是被遮罩住的,並且僅允許被授權的使用者存取。此外, 包括數位憑證和身份識別,以及服務提供商在雲端中針對客戶活動所收集或產生的資料,都必須受到保護。但是以微軟為例,微軟英國分公司的常務董事Gordon Frazer在Office 365的發表會上坦承,不管位於全球任何地點的雲端資料,都會因美國愛國者法案(USA PATRIOT Act)的要求而無法受到隱私保護。因為微軟的公司總部位於美國,它必須符合地方法律。
規範遵循
關於資料的儲存與使用有眾多的規範,包括Payment Card Industry Data Security Standard(PCI DSS)、Health Insurance Portability and Accountability Act(HIPAA)、沙賓法案等。這些規範中有許多都需要定期的回報和稽核追踨。雲端服務提供商必須協助他們的客戶可以適當地遵守這些規範。
商業連續性與資料復原
雲端服務提供商必須有商業連續性與資料復原計劃,以確保在發生災害或緊急情況的情況下可以繼續提供服務,並且可以復原任何遺失的資料。這些計劃必須和客戶分享並可讓客戶審視。
日誌與稽核追蹤
除了產生日誌與稽核追蹤,雲端服務提供商必須與客戶合作,只要客戶有需要,就必須確保這些日誌與稽核追蹤會被適當地保全、維護,並當有法庭調查(如EDiscovery)的需要時能夠取用。
獨特的規範要求
除了順應客戶的需求,由雲端服務提供商負責維運的數據中心也可能要遵循規範的要求。
法律或契約議題
除了遵從上面列舉的安全和規範議題,雲端服務提供商和客戶依照責任來協商訂定條款(例如,當有資料遺失的事件發生時該如何協商解決)、智慧財產權、與服務的終止(何時會將資料和應用程式還給客戶)。
公眾的記錄
法律問題可能還包括公務機關對記錄保存的要求,許多中間機構必須依法使用特定的方式來保存電子記錄。這些可能是由立法單位或法律要求的機構所制定的規則和慣例,公眾在使用雲端運算和雲端儲存時,都必須要考慮到這些議題。