議題觀點

企業雲端環境之風險管理及因應對策

勤業眾信風險管理諮詢 (股) 公司/吳志洋執行副總經理、林冠伭經理、林鼎鈞資深顧問

隨著科技產業軟硬體之進步,雲端運算服務越趨成熟,眾多公司選擇採取租用的方式,將資料存儲在公有雲上,再透過IaaS(基礎設施即服務)、PaaS(平台即服務)和SaaS(軟體即服務)等方式進行程式開發或資料運算處理,確保能使用供應商提供之最新軟硬體,也能降低自行維護及更新程式與設備的成本。

資安服務公司UpGuard於2017年7月14日揭露,美國最大電信公司Verizon由於外包商NICE Systems在Amazon Web Services (AWS) S3權限設定不良,造成大量用戶個資外洩,包含姓名、地址、電話號碼、帳號,以及驗證密碼(PIN)等,研究人員指出,駭客可以利用PIN假冒用戶的身分,來欺騙客服人員修改或刪除用戶的帳號資料。然而,這並非AWS S3第一起資料外洩問題,顯示出雲端服務之資訊安全風險不容企業忽視。以下我們藉由四個切入點來探討雲端服務之資安問題:

第一、企業邊界改變、風險意識與法規遵循

雲端環境會因企業將資料中心外包,使用雲端運算處理大量資料,產生龐大跨國資料傳輸,進而改變企業邊界之定義。尤其是以前無跨國交易之機會及經驗之企業,將對企業環境產生巨大改變。因此,建議資安人員應注意相關政策、法律、科技及業界標準,以規劃完整的雲端運算導入計劃。如:雲端服務供應商是否能提供經第三方檢驗的SOC 1、SOC 2、SOC 3獨立報告(表一),針對業者之控制環境加以描述,並委由符合 AICPA 信託服務安全性、可用性和機密性原則及條件的外部稽核進行查核,將會是企業選擇供應商時的一個評估要點。

(表一)雲端報告
 

 

SOC1

SOC2

SOC3

報告內容

雲端服務供應商控制環境的描述、控制與目標

雲端服務供應商控制環境的描述及符合AICPA服務安全性、可用性和機密性原則和條件的控制

展現雲端服務供應商達到AICPA服務安全性、可用性和機密性原則和條件的公開報告

報告用途

提供給雲端供應商客戶、稽核人員、簽證會計師對於內部控制財務報告有效性評估意見

為商業需求的客戶提供系統安全性、可用性和機密性相關的控制環境評估報告

為商業需求的客戶提供系統安全性、可用性和機密性相關的控制環境評估報告,但不透漏內部資訊

 

第二、資料保護

在雲端服務中,需要確保機敏資料的安全,將資料加密,增強機密性,因此企業需知道哪些資料要加密,以及如何進行加密。選擇雲端服務之供應商時,其中一個重要的評估項目即為了解業者採取之加密方式。通常資料保密的方式有兩種,一種是將資料和其加密金鑰存放於不同位置,另一種則是企業將資料自行加密後再存放至公有雲服務中,此兩種作法均可有效降低資安風險。而透過大數據分析和數據流量監控找出隱藏在正常事件下的異常行為,提前發現系統弱點並及早修補,也為加強資安機制的一大關鍵。

第三、程式、軟體安全

當企業使用之雲端運算服務為IaaS(基礎設施即服務)和PaaS(平台即服務)時,大部分應用程式及軟體安全由企業自行負責,並依照SDL(安全開發流程)執行。若採用SaaS(軟體即服務),廠商需提供SDL執行之證明文件,或第三方定期執行檢驗程式碼及程式資安測試等安全檢查的結果文件,並確定發生資安事件後之責任歸屬為何。另一方面,企業也需確保舊有程式無安全漏洞,否則移轉到雲端後將面臨更多攻擊模式,大幅增加被攻擊的風險。

第四、事件應變

企業導入雲端運算服務,將資料放入公有雲後,當發生資安事件而需要處理應變時,將會需要雲端運算服務供應商提供人力配合搜查。因此,企業必須有相關的事件應變計畫,將計畫之要求明詳於採購合約中,以確保服務供應商能確實配合執行。此外,因雲端運算服務透過資源共享來達到壓低成本及價格的目標,一台設備上有多個虛擬主機及多個客戶是很常見的情形,因此,當某一個客戶之資料發生異常而影響到同設備上其他客戶時,將有高風險引發資安問題,因此企業和供應商需討論及擬定妥善的處理方式和範圍。

雲端運算服務為一快速發展中的創新觀念,伺服器資源共用,將會對資訊安全造成巨大挑戰,也會對企業經營模式帶來改變。因此,在規劃採用雲端服務的同時,必須一併考量其潛在的資安風險,與服務供應商研討應對計畫並確實執行,企業才能無後顧之憂的享受公有雲所帶來的方便及效率。

是否找到您要的資訊?