雲安全掃盲進行時 揭祕雲安全五大盲區

      當我在閱讀各類博客、IT 產業分析以及媒體報導時，我發現許多矛盾的觀點。某些做者認爲雲計算較爲安全，有些則特別強調新的安全挑戰。因爲「雲」的概念目前仍在雛形階段，所以處處充斥着許多似是而非的論點。如下是我最常聽到的五大雲計算盲區：

      盲區1 基礎架構服務(Infrastructure-as-a-Service，簡稱 IaaS) 供應商所提供的虛擬私人「雲」就像企業內部數據中心同樣安全

      虛擬私人「雲」是IaaS領域所衍生出來的新興概念，可以讓企業透過×××連線至「雲」的資源，IaaS廠商會提供一段企業專屬的IP範圍。這種運算方式的 問題在於您仍舊與其餘企業共用硬件資源與交換網絡，彼此間僅藉由虛擬區域網絡(VLAN)隔離。然而組態設定錯誤的狀況時有所聞。根據最近一份研究顯示， 澳洲有31%的信息外泄事件是「第三方廠商如雲計算或SaaS供應商的錯誤所形成」。

      盲區2 您不須要一家以上的IaaS供應商

      將全部雞蛋都放在同一個籃子，萬一籃子打翻了就很危險，雲計算也同樣。雖然採用單一IaaS供應商較容易管理，但卻也造成單一故障點。仰賴單一IaaS供應商的風險是，萬一廠商遭到分散式阻斷DDOS***，企業的運營就可能發生中斷，就像Bitbucket的例子。

      另外一個單一故障點(SPOF)的例子是 Rackspace，一輛卡車撞上了某個變電箱而致使Rackspace數據中心電力中斷，業務於是停擺。因爲意外在所不免，所以，要防止單一故障點，就要擁有一家以上的IaaS供應商。

      創建備份據點是達成災難復原的主要方法之一，雲計算的時代也同樣。企業或許不須要一個熱於待命的失敗點，但卻應該規劃並測試如何在須要的時候迅速將運營切換至第二家供應商。雖然像Amazon「可用性區間」這類的做法可下降上述風險，但並不能徹底消除單一故障點的可能性。

      盲區3 私人「雲」一樣也適用實體數據中心的安全方案

      其思惟邏輯是，數據中心本來的邊境防護就已成效良好，而私人「雲」也受到一樣的保護，因此應該沒問題。只惋惜，狀況一般並不是如此。私人」雲」 有其新的挑戰，這些挑戰是傳統靜態數據中心所沒有的。虛擬化與雲計算加大了***面，共享儲存就是一個例子。

      另外還有一些新的情況，例如系統管理員不當心用 vMotion 將某個服務器從安全區域移到DMZ。此外，VLAN 組態設定錯誤也可能致使信息未妥善隔離。還有，同一個vShield區域內的VM之間不受監控的信息流量呢?在一個混合式」雲」環境中，當一個應用程序移 到」雲」，其虛擬機器周圍卻沒有安全防禦將會如何?仰賴IaaS廠商所提供的基本防火牆規則，甚至連IDS/IPS也沒有，可能會讓某些企業感到不安。

      盲區4 「雲」服務供應商會負起安全的責任

      雖然SaaS或PaaS服務供應商一般會在服務條款中提供安全保障，在IaaS領域卻否則。雖然IaaS廠商會採起一些安全措施，而且在文宣中強調其安全 措施，但IaaS環境的安全性終究是企業與IaaS 廠商應該共同負擔的責任，並且，最終的責任一般仍是落在企業自己。IaaS供應商的服務條款中有關安全的章節應該會強調這一點。

      不只如此，雖然供應商會負起安全的責任，但萬一發生信息外泄事件，企業自己仍舊須承擔最終的責任。畢竟，那是您的信息。

      盲區5 個人「雲」服務廠商有SAS 70 Type II程序，所以個人信息安全無虞

      SAS 70 Type II內核的確是不錯的安全基礎，也是確保廠商在檢查期間安全控管措施正常運做的一項工具，但這並不等於安全性。並且可能給人一種安全感的假象。內核所看的 是過去的情況，雖然過去的績效對將來具指標性 (至少在數據中心安全方面)，但絕非將來的保證。一旦公司發生大規模或不預期的人事變更，就可能讓本來紮實完整的安全措施一夕之間瓦解。此外，SAS 70也沒法防止心生不滿的員工對公司或客戶挾怨報復。

      SAS 70 Type II內核沒法檢查內核範圍之外的項目。在內核檢查表上的項目您或許嚴格控管，但漏洞卻可能在檢查範圍以外。再者，任何流程的內核都沒法涵蓋執行流程的人。 廠商的用人原則爲什麼?SAS 70 Type II內核並不必定涵蓋用人原則。凡人均可能犯錯，固然也絕非完美。

      SAS 70審查並無一套標準做法。這類內核是內核者與受內核對象彼此共同設計出來，目的在於測試特定業務流程的控管措施。而控管措施可能沒法包山包海，因此， 在原先預約以外的項目，即便對業務服務很重要也不在測試範圍內。所以，在將關鍵業務流程交給任何服務供應商以前，您應該對 SAS 70內核有所存疑。並且，理想的內核不該該只專一於信息安全，而是應該延伸至服務永續性、廠商管理、備份復原、人事制度等其餘領域。

      不論公共「雲」或私人「雲」在下降成本、提高企業靈活度方面都能提供優異的企業價值。不過，建議您在挑選以前仍是應該先認清其中的安全挑戰。

 

更多精彩內容請關注：
IBM虛擬化與雲計算官方微博
IBM虛擬化與雲計算官方網站