文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆
若以雲端服務及應用落實的Google 紀元來算起,Google雲端應用服務已經過邁入15年。反觀雲端服務成為廣泛應用也是這2~3年間才快速成長。不從學理上嚴謹的Cloud Computing的定義來界定市場「真雲端」、「假雲端」服務。單就服務應用與創新層面來看,在網際網路結構下,雲端應用(SaaS)的龐大資訊應用與交換,以致延伸出巨量資料分析,就有十分驚人的價值。
舉例來說:專案管理服務Basecamp已經協助280,000家公司完成200萬個專案,背後隱藏的價值是專案結案後所衍生的獲利價值;而在2014年四月正式在台灣發表的Google Cloud Platform,更擁有400萬AP應用服務,可見雲端影響日漸擴大。伴隨著行動載具(Mobile Devices)以及物聯網絡(The Internet of Things)發展,將衝擊企業智慧資產管理以及企業IT 治理。
好的管理,才能保護營業秘密
該攔阻或是放行的管理策略,是企業必需深思的營運管理模式,畢竟創造友善應用服務,也可以提升企業整體獲利;而面對企業重要資訊資產或營業秘密的保護兩者應不相違背。許多國際資訊安全專家或是雲端安全組織,都一再提醒雲端安全的重要性與相關設計,這是雲服務議題最為大家所擔憂顧慮的問題。
以一則2014年4月列為最嚴重等級Open SSL「Heart Bleed」資訊安全事件來分析說明。雖然Open SSL是Web Based服務廣為人知重要安全設計,也廣泛應用在雲端服務的安全設計上,這是雲端安全設計的其中一環,不僅如此,還有許多雲端安全設計需要考慮,更遑論企業營業秘密與重要資訊資產的保護。所以不能單一面向思考雲端安全,源頭資料的保護搭配有效的軌跡稽核,甚至適度管控限制,都是重要手段。
企業必須堅守營業秘密,舉凡重要研發製成、客戶資訊、甚至核心流程…等,擴及到公司重要營運所需智慧資產或個人資料的保護。如果企業即早注意這類雲端服務的資訊應用,並建構合一的制度與技術管理,將是企業持續營運重要戰略。
雲端服務的分類
有哪些雲端服務類型?透過一個結構圖與應用說明來看現階段雲端發展。而實際的應用已經多到很難區分細數,透過企業需求的Cloud Broker來分析,進而延伸到個人作業雲端服務需求評估,來了解落實雲端安全與企業資產保護的應用模式。
類型
|
說明
|
檔案同步與分享
|
此類服務大家所熟知像是Drop Box、Google 雲端硬碟、微軟One Driver、Amazon Cloud Drive…等,甚至延伸應用到雲端同步備份。
|
訊息傳遞會議
|
這類服務最著名就Gmail服務以及Pan Terra Networks、Cisco WebEx Mail、Yahoo Zimbra…企業訊息傳遞與會議服務為主,並且結合雲端儲存整合應用。
|
辦公室整合工具
|
常見有Office 365並結合One Driver、Google Doc 結合雲端儲存;Team Lab Office也提供許多辦公室文件編輯與偕同會議…等應用。
|
應用程式
|
這類服務就為數更多,有的以自建平台方式提供服,有的透過Hosting在PaaS環境下,廣為應用有Adobe Creative Cloud影像多媒體應用服務、Salesforce 雲端CRM服務…等。
|
專案管理與記事
|
在企業內外溝通上,本項服務也扮演舉足輕重位子,甚至可以跨檔案類型文件啟用與註記,常見有Basecamp 專案管理服務、Mind manager 雲端心智繪圖、Evernote 記事分享服務…等
|
系統資料庫
|
這類服務類似雲端平台與資料庫整合應用,涵蓋傳統資料庫以及NO SQLDB在內,常見有SQL Server 2014結合SQL Azure 服務(在2014年4月22日在台灣Launch)、Google App Engine Data store、Amazon Relational Database Service。而在平台應用包含google cloud platform…等
|
多媒體影音
|
這類服務偏重在娛樂與教育應用上,例如:Apple iTunes 或是Spotify 音樂服務…等。
|
居家安全照顧
|
雲端居家照顧服務、雲端保全監控、雲端資訊安全服務…等。
|
其他服務
|
再搭配Internet服務下,更顯得雲端服務的蓬勃。
|
保護重要資產二大元素,缺一不可
仔細分析上述常用的雲端服務類型,其實都包含兩個重要的企業資產保護的重要元素:1. 資料檔案的保護與應用;2. 使用的必要性與管控,這兩大元素是企業持續獲利與面對雲端服務重要關鍵,更甚於在資訊安全事件或資料外洩後所施作救濟手段來的有效。在企業既有的安全結構下(泛指企業既存資訊安全設計),更需專注於這兩大元素管理應用及設計,可以讓企業營運管理在面對新興雲端應用更顯得有其價值。
實踐這兩大元素的保護設計,必須依賴制度與應用技術的互補應用。在制度與用技術的設計規劃,考量各個產業類型的差異性對於雲端應用需求也不盡相同,在本篇文章先不去論述制度管理規劃設計,而優先聚焦在兩大元素的技術應用。在前述的多樣雲端應用服務中,「資料」源頭保護是一個重要課題。大家首選就是「1. 檔案的加解密」,但是這樣的技術考慮在雲端應用上仍存在著思慮不全風險,企業必須將:資料加解密、人員群組權限、檔案使用政策、軟體使用政策、目錄加密管理、軌跡追蹤稽核這六種技術應用列入考慮才算完整,單一面向考量到檔案加解密,將在CIA的可用性上受到嚴重干擾,反而不利於企業內合法資訊的傳遞與創新發展。
其中特別要說明目錄加密管理(DEC) :全名是Document Encryption Center,結合企業Files Server目錄與權限範本,在使用介面只要拖曳檔案到指定DEC資料夾,就可以All-in-on將檔案加密、套用人員權限,並結合ACL,達到自動定時回收檔案…等管理。有利於企業在資料流通與儲存管理。而在人員群組上可以涵蓋到公司內部人員外,可以擴及到出差與以及企業外包委外人員的企業檔案使用管控,以一致性技術管控標準延伸適用於公司相關的各類角色。即便是在雲端應用服務都可以透過底層的檔案安全管理達到管理的目的,這可以解決企業對於雲端應用與企業資產保護的疑慮。
分析過資料檔案的保護與應用後,我們接著要探討第二個元素就是「2. 使用的必要性與管控」,畢竟多樣雲端網路活動,企業不可能全部買單,企業也會憂慮相對保護保密措施是否完善,所以必須考慮「使用的必要性」對於可以保護企業重要資訊資產與創造獲利的雲端服務,在企業管理制度下可以被靈活使用。對於可能造成風險或漏洞的雲端服務,企業仍必須採取適度的管理與限制,這時候透過DLP的網頁管控、郵件管控、內容記錄稽核以至雲端APP的軟體安控、文件使用行為管理,都是取得企業重要智慧資產保護與雲端應用服務重要技術應用。
結語
歸納雲端應用服務與相對兩大技術應用保護,我們必須還要做到定期稽核管理,依賴技術管理外,定期稽核管理才能有效分析出「木桶理論」中企業營運面對雲端服務衝擊下特殊例外事件,透過持續PDCA來收斂問題。我們提出假說「切斷網路是終極管理有效的處置手段」,但是伴隨著多樣資訊傳遞技術,有著難以著力的妥善設計。若能依據法規,建立互信的管理制度,並且搭配合宜的技術管控與稽核手段,才是風起「雲」湧的雲端IT環境中,保障企業核心資產較合宜的對策。