随着网络基础建设更加完善、资料传输速度的提升,及云端资料存取的便利性,都加速云端服务的普及,包括 Google、Dropbox、Amazon 等厂商也都竞相推出相关云端服务,使用云端进行资料分享、协作及保存,也成为日常生活中重要的一环。
为何企业都爱用云端服务?
企业之所以使用云端服务,主要着眼于 成本降低、布署弹性、提升效率 等三大特性,透过外部厂商提供的云端服务,不仅可降低企业购置 IT 设备的资本支出 ( Capital Expenditure ),也不必提列设备折旧的费用,实现企业轻量级资产的经营模式外,也连带助攻了网络电商等各种新创企业的发展性。
以美国国家标准技术研究所(National Institute of Standards and Technology,以下简称 NIST ) 对云端运算的定义而言,是一个透过网络存取的“资源共享池”,它可让使用者便利且弹性地依照自身需求,向服务供应商取得所需的硬件或软件资源,如网络、服务器、储存设备、应用程序和服务等等。
云端三大服务模式: SaaS、PaaS、IaaS
根据 NIST 的定义,云端模式共分为 3 项:
一、软件即服务 SaaS(Software as a Service , SaaS)
SaaS 常见范例象是 Gmail、Google 行事历、Office 工具、ERP 系统,使用的对象多为“一般大众”。用户只需透过网络、登入帐户,不论你在何处,使用的是自己或亲友的手机、平板计算机等行动装置,便可连接至云端服务提供者的网页,存取资料,且无须购买、安装、更新、维护任何硬件或软件。
二、平台即服务 PaaS(Platform as a Service, PaaS)
PaaS 的典型例子为 Google APP Engine、Microsoft Azure,使用的对象多为“软件开发工程师”。藉由云端服务供应商提供的运算平台或解决方案,包括服务器、储存空间、作业系统、程序语言、数据库等服务,用户端可进行软件或应用程序的开发、测试、管理、营运,却不用负起云端基础设施的建造与维护,只需要控管所在的主机组态即可。
三、基础设施即服务 IaaS( Infrastructure as a Service, IaaS)
IaaS 代表性的服务为 Google Drive、Microsoft Azure、Amazon EC2,使用的对象多为“IT 管理人员”。供应商提供云端运算服务所需的设备,例如服务器、云端硬盘储存等,让用户能够使用各种基础运算资源,用多少、付多少,且不需维修或更新基础设施,仅需控制其作业系统、储存装置,或是有限制地控制防火墙,负载均衡器等网络组件。
七项云端信息安全新标准关注点
国际标准 ISO / IEC 27017 ( 云端服务之信息安全管理 ) 已于 2015 年正式发布,它是在 ISO / IEC 27002 条款 5 ~ 18 的控制措施上,额外补充、增加与云端相关的控制措施指引。
ISO / IEC 27017 引用 ISO / IEC 27002 的 37 个控制措施,提供“云端服务客户”( CSC ) 和“云端服务提供商”( CSP ) 在云端信息安全上的相关指南,并针对云端相关信息安全威胁 ( threats )与风险 ( risks ) 等考量面向,额外新增 7 个延伸的安全控制措施,内容分别罗列如下:
CLD.6.3.1 在云端运算环境内共享的角色和责任 ( Shared roles and responsibilities within a cloud computing environment )
CLD.8.1.5 云端服务客户资产的移除 ( Removal of cloud service customer assets )
CLD.9.5.1 虚拟运算环境的区隔 ( Segregation in virtual computing environments )
CLD.9.5.2 虚拟机器的强化 ( Virtual machine hardening )
CLD.12.1.5 管理者的操作安全 ( Administrator’s operational security )
CLD.12.4.5 云端服务的监视 ( Monitoring of Cloud Services )
CLD.13.1.4 虚拟和实体网络安全管理的一致性 ( Alignment of security management for virtual and physical networks )
如果企业、其他单位组织或客户的资料皆存放在同一台机器设备上,一旦其中一家公司或用户发生信息安全意外,此时就非常可能波及自家企业的各类资料。因此,ISO / IEC 27017 强调在多租户 ( multi-tenancy ) 的环境下,必须确保用户间的 资料安全、网络区隔及存取权限控制 等管理无虞。如同百货公司提供场地给各大专柜进驻时,除了提供水电、空调等基础营业环境,更应提供清楚的专柜位置或实体隔间墙,以确保各家专柜内的资产、产品不致遗失或混淆。
善用云端科技 更要注意安全措施
如同广受推崇的订阅经济模式,云端服务可为云端供应商带来持续性的营收,取代过去一次卖断的商业模式;对云端使用者而言,除了能够“以量计价”( 亦即“用多少付多少”),还可弹性地配置资源,不用在一开始就投入大量建构软硬件的成本。
总的来说,在云端服务发展不可逆的趋势下,虽然可能会衍生相关风险,但若能参考国际标准 ISO / IEC 27017 的指引,云端服务提供商和使用者间以书面化签订协议或合约,载明双方权责义务,双方也提早做好相对应的管控措施,确保资料存取获得完善保护,同时了解“GDPR 资料跨境传输规范”等特定产业的法规、避免违法,云端科技将有助于企业研发更具前瞻性与创新力的产品及服务,成为公司持续成长的下一波动力来源。