雲端儲存(四):當白雲變烏雲 淺談雲端資安
102/08/22
瀏覽次數
11027
王蒞君|
國立交通大學電機工程系暨科技與社會中心智庫研究團隊
陳昱嘉|
國立交通大學電信工程研究所暨科技與社會中心智庫研究團隊
自2011年起,每年在台灣舉辦之「CLOUDSEC企業資安高峰論壇」乃是亞太地區首屈一指之雲端資安盛會;而2013年的活動將在8月27日舉行,會中預深入探討包括:雲端與虛擬化、BYOD行動商務、進階持續性滲透威脅、網路犯罪,及巨量資料等相關重量級資安議題。
雲端運算固然帶來許多好處,但也帶來不少隱憂。許多企業都明確指出雲端資安是雲端運送最嚴重的挑戰;美國Garner機構的市場調查研究報告亦指出,資料安全是客戶使用雲端運算時最在意的問題。其實仔細想想,我們現在大量使用的雲端服務、雲端儲存服務、電子郵件服務等,這些在雲端的資料搞不好比我們放在本地電腦端的資料都還要多,您可曾想過這些資料面臨著什麼樣的資安風險嗎?
資料安全可分成3個層面來探討:機密性(Confidentiality)、完整性(Integrity)、和可用性(Availability),上述三個特性可以簡稱為CIA。
一、機密性:機密資訊不可揭露於未經授權的主體之下,強調資料的內容不會洩漏給不該洩漏的人;換句話說,只有我們允許的合法使用者可取得該資料的內容,好比公司的內部電子郵件內容是經過保護而不能任意被公開的。
二、完整性:對任何機密資訊所施行的修改運作,都必須經授權且無竄改的,強調資料內容必須和原使用者的資料內容一致。舉例來說。你一定很在意銀行內的存款紀錄使是否有被竄改,因此業界必須保護每1筆資料的完整性。
三、可用性:已經取得授權的使用者可以及時地與不受中斷地讀取或使用,除了強調每1個存取資料的使用者身分都被審核過外,更需維持作業活動的順暢性,不能因惡意行為導致資訊系統毀壞。
這3個特性是資料安全最核心的要求,然而因雲端運算的服務往往將使用者的資料集中在雲端資料中心,這些資料中心因此更容易成為有心人士攻擊、侵入的對象;另外由於虛擬化機器大量被使用在雲端機房內,這些虛擬化機器如果沒做好安全控管,容易被駭客侵入,成為資安的漏洞,上述這些原因使得資料安全是雲端運算最迫切解決的議題之一。
雲端資料安全需要每個應用層面的開發商來努力完成,在IaaS層(Infrastructure as a Service)就包含機房的管理,硬體設備的安全架構等;在PaaS層(Platform as a Service)則需要考慮到VM(Virtual Machine)的安全維護,開發者的存取權限等;在SaaS層(Software as a Service)企業需要使用者驗證機制,資料加密機制等,這些技術都需要相關產學界加以研究開發,不過使用者也不用過於擔心,專家指出,我們還是可以把資料放到雲端上,就如同我們放心把錢交給銀行,但是要注意選擇可信任的雲端公司(服務)。另外,帶有個人隱密資訊的資料還是先加密再上傳雲端吧,如此一來我們也不用太擔心這朵雲是白雲還是烏雲了。(本文由國科會補助?新媒體科普傳播實作計畫─電機科技新知與社會風險之溝通?執行團隊撰稿)
責任編輯:黃承揚|英商牛津儀器海外行銷有限公司