何謂雲端運算?
簡單的來說,雲端運算是一種使用者透過網際網路的大量資料運算方式,透過這種方式,共享軟硬體資源和資訊服務。
使用者可以在網路上只需透過瀏覽器存取巨量的資訊,當雲端運算時代一旦真正來臨,你可以想像,不用再帶筆電腦四處移動,電腦壞了、被偷了也不用緊張,因為資料都存在雲端上。只要一組帳號密碼,即可利用能上網的裝置,例如:智慧型手機、智慧型手錶.... 都可以變成你讀取在雲端上的個人電腦。
目前最簡單的雲端運算技術,在網路服務中已經隨處可見,使用者只要輸入簡單指令,就能得到大量資訊。目前最被大量運用有「照片」、「信件」、「行事曆」及「分享文件」等,放在網路上,使用手機、筆電、用PDA裝置,隨時隨地,都可以讀取出使用。
雲端安全
未來會有更多機關單位、企業體、個人,雲端上的 big data 每分每秒在網際網路上流動著,使用者不再需要追求越來越高的硬體,一旦雲端時代真正的來臨,你我大家每天漫步在雲端,雲端安全就是我們必須面臨的課題,2013年以來,雲端運算聯盟 (Cloud Security Alliance, CSA) 接續發表「雲端運算關鍵領域安全指南」與「安全即服務實施指南」,這些報告很快就成為業界標準的最佳實務,用以確保雲端運算的安全,以全方位解決 CSA 指引中所強調的13個領域,以及安全即服務 (SecaaS) 實作指引系列中所述的10個服務領域。
2013年雲端運算的九大安全威脅報告主要目的在為各單位提供一個最新的雲端運算安全威脅。
為了確認這些最嚴重的威脅,CSA針對業界專家進行一項調查,並彙整大家對雲端運算中最大漏洞的專業意見。
CSA主要威脅工作小組將這些調查結果作成2013年雲端運算端運算的九大安全威脅報告。
在報告中,專家們確認雲端運算的九個關鍵威脅包括:
1.資料洩露 2. 資料遺失 3. 劫持帳戶 4. 不安全的API 5. 阻絕服務 6. 惡意的內部員工 7. 雲端運算服務濫用 8. 貿然行事 9. 系統共用的隔離問題等。
| 九大威脅 |
說明 |
| 資料洩漏 |
要因應資料遺失與資料洩露的威脅,可能會同時造成拆東牆補西牆般的效果;CSA報告中認為:落實到位的措施可能可以緩解一種威脅,但也會增加遭遇另一種威脅的風險。使用者可以對資料加密,以減小洩露的風險,不過一旦遺失了加密金鑰,就再也無法查看資料。 |
| 資料遺失 |
雲端運算環境的第二大威脅是資料遺失;報告中指出,資料遺失帶來的問題不僅會影響企業與客戶間的信任關係;依照法規,企業必須存儲某些資料檔案以備核查,但這些資料一旦遺失,企業可能因此陷入困境,遭到政府的處罰。 |
| 劫持帳戶 |
第三大雲端運算安全風險是帳戶或服務流量被劫持。如果駭客獲取企業的登錄資料,就有可以竊聽相關活動和交易,並操縱資料、傳回虛假的資訊,將企業客戶導引到非法網站上;報告中指出:要抵禦這種威脅,關鍵在於保護好登錄資料,避免被竊取;CSA認為:企業應考慮禁止使用者與服務商共用帳戶登錄資料;可能的話,企業應該儘量採用安全性高的雙因數驗證技術。 |
| 不安全的API |
第四大安全威脅是不安全的介面(API);API對一般雲端運算服務的安全性和可用性是非常重要的;企業和協力廠商會經常在這些介面上提供附加服務;CSA在此建議,企業要了解使用、管理、協調和監控雲端運算服務會在安全方面帶來什麼影響;安全性差的API會讓企業面臨機密性、完整性、可用性和歸責性的安全問題。 |
| 阻絕服務 |
分散式阻絕服務(DDoS)被列為雲端運算面臨的第五大安全威脅;DDoS引起的服務停用會使服務提供者失去客戶,還會給按照使用時間和磁碟空間的使用者造成慘重的損失;雖然攻擊者可能無法完全摧毀服務,但是還是可能讓運算資源消耗大量的處理時間,因而被迫自行關掉該項服務。 |
| 惡意的內部員工 |
第六大威脅是惡意的內部員工,這些人會惡意連上網路、系統或資料。在雲端運算服務設計不當的情況下,惡意的內部員工可能會造成較嚴重的破壞。在雲端運算服務提供者完全對資料安全負責的情況下,許可權管控在保證資料安全方面是非要的;CSA認為:就算雲端運算服務供應商採用加密技術,若是金鑰未交給客戶保管,系統仍然會遭到惡意的內部員工攻擊。 |
| 雲端運算服務濫用 |
第七大安全威脅是雲端運算服務的濫用,如壞人利用雲端運算服務破解普通電腦很難破解的加密金鑰等;另外,惡意駭客也會利用雲端運算伺服器發動分散式阻絕服務攻擊、傳播惡意軟體或共用盜版軟體。其所面臨的挑戰是,雲端運算服務供應商必需確定那些操作是服務濫用,並且確定判定服務濫用的最佳流程與方法。 |
| 貿然行事 |
第八大雲端運算安全威脅是在調查不充分前就貿然行事;如果公司的開發團隊對雲端運算技術不夠熟悉,就把應用程式貿然放到雲端運算環境中,可能會因此出現運營和組織架構干擾的問題;CSA的忠告,企業要確保自己有足夠的資源準備,而且在進入到雲端運算之前應先進行充分的調查及準備。 |
| 系統共用的隔離問題 |
CSA將共用技術的安全漏洞列為雲端運算所面臨的第九大安全威脅;雲端運算服務供應商經常共用基礎設施、平台與應用程式,並以一種靈活擴充的方式提供服務。CSA在報告中指出:共用技術的安全漏洞可能存在於所有雲端運算的提供模式中。
如果資料中心組成部分,如虛擬機器管理程式、共用平台元件或應用程式受到攻擊時,可能因此導致整個環境的損害;CSA建議採用更深入的整體防禦策略,通過涵蓋運算、儲存、網路、應用程式、使用者安全執行及監控等多層面的解決方案,來因應這些安全挑戰。 |
資料來源:國家實驗研究院科技政策研究與資訊中心執行
相關連結
- 如貴單位有雲端安全服務需求,請聯繫 Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它
