記者/秦 晴
伴隨網際網路與行動載具的普及,雲端服務在當代已是趨勢之一;無論是企業組織或是私人使用,利用雲端服務儲存、整合資訊的情況似乎只會日益盛行。一如雲端資安專家林信忠教授的比喻,舊時人們習於將重要的財物藏於隱密之處,但隨著銀行的出現久了也會改變存錢的習慣;而雲端服務就好比現在的銀行,儘管多半時候便利且安全,但仍百密一疏,稍不留意儲存在雲端的資料就有遺失或被盜用的可能。
揮一揮衣袖 誰帶走你的「雲」彩?
「雲端資料會不會消失或被人竊取?」「如果和別人共享資源,會不會連我的資料與程式也被分享?」「從自己的電腦操作雲端設備安全嗎?」這些都是雲端使用者常見的疑慮,在在都與雲端資安問題有著緊密關聯。
根據Digitimes指出,雲端資安的定義端賴其應用的形式。大體上,它主要指涉的層面有三,即「保護雲端基礎架構的資安設計」、「利用雲端運算提供資安的服務」和「雲端服務本身的應用安全服務」。前者著重在協助雲端運作穩定、順利的基礎架構設計上,後兩者則分別意指利用雲端對惡意程式的分析和雲端服務本身的安全議題。
Digitimes認為,雲端服務主要的威脅來自於網路犯罪者對雲端的濫用或攻擊。由於現今網路使用門檻極低,駭客只要動動手指寫出惡意程式碼,便可輕而易舉地透過雲端平台阻斷其他合法的租用者的服務,像是破解其密碼或發送病毒軟體影響其運作。在過往的部分案例中,更有駭客利用匿名方式在雲端平台試用期間便進行犯罪活動,可謂防不勝防。
做好風險管理 不怕摔下雲端
面對雲端資安問題,網路資訊雜誌力勸使用者務必要放下舊有思維,因為這可不是用過去維護傳統伺服器或機房的方式就能輕易打發。舉例來說,過去利用重重防火牆便能確保資料不會輕易外流,然而這樣的措施卻無法有效阻絕雲端連線,因此不論是家戶或企業皆應找出保護雲端安全的方案。
對此林信忠教授認為,嚴守好端點與資訊流的安全才是真正有效解決雲端資安的關鍵。他表示,雲端使用者在尋求雲端服務前應先做好風險管理,例如:審慎思考何種資料或程式適合放在雲端、嚴格審核採用的服務供應商和服務模式、充分理解雲端的控制措施是否合適且足夠、使用雲端後可接受的風險程度為何等。
Digitimes亦認同企業應在採用雲端服務前,對管理機制、服務安全模式、資安問題等,從法規、個資面向做好風險評估,並尋求最適合的解決或配套措施。雲端安全聯盟(CSA, Cloud Security Alliance)則認為,在傳輸資料時全程進行加密與金鑰管理,才能有效保障資料的安全性,讓雲端真正成為能幫助使用者遨遊資訊青天的「觔斗雲」。