雲端安全九大威脅與個資機房盤點
2013的資安議題,仍離不開雲端與個資,雲端安全聯盟(Cloud Security Alliance)台灣分會教育訓練組邱志傑召集人根據2013年2月CSA調查顯示,近年來全球威脅仍主要以網路詐騙為主,並且網路攻擊行為已慢慢的由技術宣示改為商業行為,因此機密資料的外洩、遺失與帳戶詐騙已為雲端安全的最大威脅,其中第一名的資料外洩由2010年的第五名直升今年的雲端威脅第一名。
要有效遏止資料外洩可採用加密、多因素身分驗證、安全政策與風險評估等方式,降低雲端資料外洩的風險。以下為CSA台灣分會所發布的2013年雲端九大威脅:1.資料外洩;2.資料遺失;3.詐騙帳戶、服務或流量;4.不安全的接口和API;5.拒絕服務;6.內部惡意人員;7.雲端服務的濫用;8.審慎評鑑不足;9.共享技術漏洞。
CSA所發布的雲端運算重要領域安全指南(Security Guidance for Critical Areas of Focus in Cloud Computing),主要是希望能夠協助有意發展雲端服務的企業與組織,可以全方位的思考與評估所應該考量的要素,以及需要留意的事項。
目前安全指引與先前版本最大的差別,除了調整原本幾個領域(Domain),同樣亦分成了雲端架構(Cloud Architecture)、雲端治理(Governing in the Cloud)、雲端營運(Operating in the Cloud)三個主要部分,其中又細分成14個領域進行評估,包括了雲端運算架構框架、治理與企業風險管理、法律議題—合約與電子證據發現、法規遵循與稽核管理、資訊管理與資料安全、相互運作與可移植性、傳統安全、營運持續和災難復原、資料中心營運、事故回應、應用程式安全、加密與金鑰管理、識別、權限與存取管理、虛擬化以及安全即服務,其中調整了2個領域的名稱,並且新增加了Security as a Service這個領域,以符合目前與未來近期發展雲端安全上的需求。
這14個領域的範圍已經含括目前雲端服務的多個面向,不論服務供應商提供的何種服務或服務的模式,幾乎都可以在這些不同的領域中,找到其發展的方法以及對於服務安全或是資料安全的處理原則。
由於雲端的盛行,使用者服務都集中在雲端基礎架構上,前陣子的電信業者機房失火,導至全台百萬用戶網路與電信中斷,相信很多人無法收信、查詢行事曆、瀏覽網路地圖等,短時間中斷相信使用者都還情有可原,但若雲端服務中斷超過2天,相信會有不少民怨甚至抗爭狀況發生。
在這樣的風險下,雲端機房上的個資盤點更為重要,包含員工資料、客戶資料、廠商資料等等,這些資料散落在企業裡的主要機房的伺服器裡面,尤其是經常服務性的主機資料,另外還有備份主機、檔案伺服器、資料庫主機、備援主機、測試主機等,這些主機都有可能會有極大機率含有高筆數的個資資料,所以「發現個資風險」與「個資問題處理」等兩大工作也是非常重要的機房議題。
中華民國資料保護協會理事長表示,機房內的所有伺服器,應儘快採用個資盤點、資料庫個資盤點與網站個資盤點等工具做初步掃描,爾後可透過專業的顧問團隊針對個資弱點進行評估,最後可透過專業的查核單位進行個資機房的專業稽核。