課程:論文研討(二)
日期:2013/5/3
時間:14:00 ~ 15:30
地點:S104
講者:優弧資訊公司 呂沐錡總經理
作者:資工碩一 吳欣蓉近幾年來,雲端這兩個字不斷的被熱烈討論,很多公司都在提倡雲端,但什麼是雲端呢?雲端指的就是網際網路,大家透過網際網路來使用一些服務,甚至提供一些平台的租用服務,讓一些企業不需自行購買設備,透過租用的方式,用多少就付多少,但也因此衍生出一個重要的議題 - 安全性,很多企業遲遲不敢投資都在於這個議題,害怕公司的內部資料外洩,甚至牽扯個資洩漏的問題,因此想要推出雲端方面的服務,就需要針對安全性做一個更加詳細的保護措施,不但讓使用者安心,也能吸引更多客戶來使用。
下面我們針對雲端計算的安全性問題來進行一些探討,並將客戶所在意的議題分成下列三個方面:
1. 資料的安全性與隱私性:
客戶會去思考資料放在雲端資料中心是否安全,甚至和其他使用者共用儲存設備是否安全,並保證資料不會外流出去。
2. 服務效率與可用性:
雲端服務是否能確保資料傳輸的安全及服務的品質是否符合客戶的要求。
3. 標準性與轉移性:
客戶會考量到如何將原有的軟體和服務轉移至雲端上,而在這方面,軟體和雲端服務供應商,是否能夠再轉移到其他的服務商。
除了上面提到的部分,我們來看看雲端所帶來的威脅有哪些,甚至透過雲端來做一些非法的行為。首先,雲端服務商為了降低使用的門檻,並不會要求使用者需要經過嚴格的審查才能使用,雖然這樣的做法能有效的推廣雲端服務,但卻也導致有心份子的利用。因此在使用者介面的驗證與授權功能是否安全,都是需要去注意的地方。而雲端運算的服務,使用上好像擁有獨立的環境,但是這些環境都是從共享的實體環境中透過一些虛擬化技術所產生的,而這樣的技術平台是否能將不同的使用者確實區隔開來也是需要注意的部分。而以企業的立場來說,資料遺失和資料外流對一個企業的影響,不單單只是金錢,甚至是企業的形象受損,因此我們要注意的是該平台是否擁有足夠的加密技術、如何安全地刪除資料、災難復原...等,都是必須認真加以考量的問題。除了以上列出的問題,甚至還有一些不知道的風險存在,因此我們可以透過下列的方式來進行一些簡單的安全評估:
1. 選定採用的雲端服務類型:
雲端服務可分為三種服務方式(IaaS , PaaS , SaaS)和三種部署(Public cloud , Private cloud , Hybrid cloud) 方式,任何一種方式的風險都不太一樣。
2. 確認相關資料與應用程式的重要性:
選擇想要使用的雲端服務後,確認所使用到的應用程式及相關資料,他們的重要性程度為何,如果非常重要,企業所要求的資訊安全的等級就會比較高。
3. 進行風險分析:
確認資料及應用程式的重要性後,我們可以針對以下幾個項目做考量,分別為資料的安全性、雲端運算服務供應商法規遵循的可靠性、服務中斷時的回復能力及企業需求的支援能力。
4. 尋找合適業者:
當提出風險評估表後,就要開始針對每一家雲端服務提供者進行篩選,並跟雲端服務提供者進行一些協定,包含提供的水準及違約時應付的賠償,甚至其他書失所造成損失的責任也應該要分配清楚。
5. 定期追蹤:
和雲端服務提供商簽訂契約後,還是要持續的進行追蹤,以確保個人的利益是否有損失。
沒有留言:
張貼留言