云计算安全
云计算安全(Cloud computing security),有时也简称为“云安全”(Cloud security),是一个演化自电脑安全、网络安全、甚至是更广泛的资讯安全的子领域,而且还在持续发展中。云安全是指一套广泛的政策、技术、与布署的控制方法, 以用来保护资料、应用程式、与云计算的基础设施。云安全无法与“基于云”(cloud-based)的安全软件(安全即服务,Security as a Service)混为一谈,后者是如商业软件厂商所提供的基于云的杀毒或弱点管理服务。[1]
与云相关的安全议题
与云计算安全性有关的议题或疑虑[2]有很多,但总的来说可将其分为两大类:云服务提供商(提供软件即服务、平台即服务、或基础设施即服务的组织)必须面对的安全议题,以及这些供应商的客户必须面对的安全议题。在大部分的情况下, 服务提供商必须确认其云基础设施是安全的,所以客户的资料与应用程式能够被妥善地保护;另一方面,客户必须确认服务提供商已经采取了适当的措施,以保护他们的资讯安全。
云安全的面向
虽然云安全议题可被分类成各种面向(Gartner 宣称有 7 大安全面向[3];Cloud Security Alliance 则指出 13 项安全疑虑[4]),但这些面向可被归结为 3 大领域[5]:安全与隐私、规范遵循、以及法律或契约议题。
安全与隐私
为了确保资料是安全的(不能被未授权的用户存取,或单纯地丢失),以及资料隐私是有被保护的,云服务提供商必须致力于以下事项:[5]
资料保护
为了妥善保护资料,来自于某一客户的资料必须被适当地与其他客户的资料隔离;资料存储在原来的地方,或是从一个地方移至其它地方,都必须确保它们的安全。云服务提供商必须有相关的系统,以防止资料外泄或被第三方任意存取。适当的职责分权以确保审核与与/或监控不会失效,即便是云服务提供商中有特权的用户也一样。
身份管理
每一家企业都有自己用来控管计算资源与资讯存取的身份管理系统。云服务提供商可以用联邦制或SSO技术来集成客户的身份管理系统到其基础设施上,或是提供自己的身份管理方案。
实体与个资安全
云服务提供商必须确保实体机器有足够的安全防护,并且当存取这些机器中所有与客户相关的资料时,不只会受到限制,而且还要留下存取的记录文件。
可用性
云服务提供商必须确保客户可以定期、如预期地存取他们的资料和应用程式。
应用程式安全
云服务提供商必须确保透过云所提供的应用程式服务是安全的,外包或包的代码必须通过测试与可用性的验收程序。它还需要在正式营运环境中建立适当的应用层级安全防护 (页面存档备份,存于互联网档案馆)措施 (分布式网站应用层级防火墙)。
隐私
最后,云服务提供商必须确保所有敏感性资料(如信用卡号码)是被遮罩住的,并且仅允许被授权的用户存取。此外, 包括数码证书和身份识别,以及服务提供商在云中针对客户活动所收集或产生的资料,都必须受到保护。但是以微软为例,微软英国分公司的常务董事Gordon Frazer在Office 365的发表会上坦承,不管位于全球任何地点的云资料,都会因美国爱国者法案(USA PATRIOT Act)的要求而无法受到隐私保护。因为微软的公司总部位于美国,它必须符合地方法律。
规范遵循
关于资料的存储与使用有众多的规范,包括Payment Card Industry Data Security Standard(PCI DSS)、Health Insurance Portability and Accountability Act(HIPAA)、沙宾法案等。这些规范中有许多都需要定期的回报和审核追踨。云服务提供商必须协助他们的客户可以适当地遵守这些规范。
商业连续性与资料撤销
云服务提供商必须有商业连续性与资料撤销计划,以确保在发生灾害或紧急情况的情况下可以继续提供服务,并且可以撤销任何丢失的资料。这些计划必须和客户分享并可让客户审视。
日志与审核追踪
除了产生日志与审核追踪,云服务提供商必须与客户合作,只要客户有需要,就必须确保这些日志与审核追踪会被适当地保全、维护,并当有法庭调查(如EDiscovery)的需要时能够取用。
独特的规范要求
除了顺应客户的需求,由云服务提供商负责维运的数据中心也可能要遵循规范的要求。
法律或契约议题
除了遵从上面枚举的安全和规范议题,云服务提供商和客户依照责任来协商订定条款(例如,当有资料丢失的事件发生时该如何协商解决)、知识产权、与服务的终止(何时会将资料和应用程式还给客户)。
公众的记录
法律问题可能还包括公务机关对记录保存的要求,许多中间机构必须依法使用特定的方式来保存电子记录。这些可能是由立法单位或法律要求的机构所制定的规则和惯例,公众在使用云计算和云储存时,都必须要考虑到这些议题。
参考资料
- ^ Cloud-based Security Software Directory. Mosaic Security Research. (原始内容存档于2011-07-14).
- ^ "Swamp Computing" a.k.a. Cloud Computing. Web Security Journal. 2009-12-28 [2010-01-25]. (原始内容存档于2019-08-31).
- ^ Gartner: Seven cloud-computing security risks. InfoWorld. 2008-07-02 [2010-01-25]. (原始内容存档于2014-09-06).
- ^ Security Guidance for Critical Areas of Focus in Cloud Computing. Cloud Security Alliance. 2011 [2011-05-04].[永久失效链接]
- ^ 5.0 5.1 Cloud Security Front and Center. Forrester Research. 2009-11-18 [2010-01-25]. (原始内容存档于2009-11-24).