在雲端運算的服務平台 完整的資安考量

在雲端運算的服務平台 完整的資安考量

參考了Cloud Security Alliance 的說法與個人經驗, 完整的資安考量應包含下列幾點:

(一) 虛擬化 (Virtualization): 虛擬化設備的機器的資安機制, 和傳統的有哪些衝突?

(二) 認證與存取管理 (Identity and Access Management): 是否要增設使用人帳號, 新增&取消的機制又為何? 如何與現有的做整合?

(三) 加密與密鑰管理 (Encryption and Key Management): 雲端服務的廠商是否有權利 參與密鑰管理的設定? 廠商的設備是否支援加密的通訊協定? 這不是單純在伺服器, 還包含在網路設備與儲存設備.

(四) 系統程式安全 (Application Security): 在 Application Security architecture and Software Development Life cycle (SDLC) 的範圍下, 針對 (IaaS, PaaS, SaaS) 又有哪些不同作法? 雲端服務的廠商可否參與系統開發的測試, 測試資料是虛, 還是真實的? 保密協定的簽核?

(五) 安全事件反應 (Incident Response): 雲端服務的廠商是否有能力提出事前防禦和事後補救? 它有扮演 Security Operation Center 的功能與角色嗎?

(六) 機房中心營運與管理 (Data Center Operations): system availability, performance, network latency 是否與服務層級協議(Service Level Agreement；SLA)相符合? 貨櫃式機房中心的創造、保留、到銷毀的整個過程，如何加以管理?

(七) 營運持續管理(BCM) 與災害復原服務（Disaster Recovery Services）: 廠商的服務層級協議(Service Level Agreement；SLA) 是否在接受範圍內? 多久操練過一次?

(八) 雲端可攜與互通描繪準則(Portability and Interoperability): 可攜式介面, 應用程式介面, 管理介面是否有共通標準?

(九) 資料生命週期管理(Information Lifecycle Management): 企業從資料的創造、抓取、保留、備份、到銷毀的整個過程，如何加以管理，雙造的責任與義務又為何?

(十) 法規遵循的目標與稽核 (Compliance and Audit): SAS 70 Type II, Health Insurance Portability and Accountability Act (HIPAA), even 個資保護法規, 如何精實的予以呈現?

(十一) 電腦鑑識 (Legal and Electronic Discovery): sys log and audit log 的保存期限? 檢調需要查證時, 可否完整提出證明?

(十二) 公司治理與完整風險分析 (Governance and Enterprise Risk): 應採取那一項業界的標準?