建构安全的云端运算服务

2019-11-30沐港华

电子技术与软件工程 2019年7期

文/沐港华

在今年8月16日晚上，网络服务巨擘Google旗下所有的全球服务也宕机1至5分钟，包括Google搜寻、Gmail、Youtube等网络服务均短暂停止运作。此次宕机可谓史无前例，据专家估计，全球的网络流量因宕机而骤降约达40%，Google也因而损失估计约50万美元。当今，云端运算产业具备软、硬件资源共享、提升成本效益与使用便利性等优势，在一片看好的同时，却也面临诸多的挑战，其中，安全议题跃居榜首，它成为限制云端运算发展的重要关键因素，能否确保云端运算服务的机密性、完整性及可用性，均将影响广大用户未来使用云端服务、或是将数据储存在云端平台的意愿。

1 云端运算服务的安全威胁

云端安全联盟（Cloud Security Alliance，CSA）发表的《The Notorious Nine：Cloud Computing Top Threats in 2013》指出，云端运算服务中最常见的9项安全威胁，包括：数据泄漏和数据遗失、审慎评鉴不足、应用不安全、内部员工的恶意行为和网络攻击。

2 建构云端安全的方法

传统数据安全、业务持续和灾难复原，用户应检视云端服务供应商的环境安全及设备安全，并确认供应商已妥善处理传统信息安全问题，且已具备详尽可行的灾变复原程序及业务持续运作计划，以确保万一发生事故，仍可维持既有的服务水准。相关安全建议如下：

（1）供应商针对用户所需的安全要求，应该建立一套安全基准（例如：系统管理、实体环境安全、人员作业程序、事件处理等）。

（2）用户应尽可能地实际到场检查供应商的各项安全措施。

（3）应确认供应商是否有专业的信息安全管理人员，并了解其人员的职务运作与训练情况，以及是否符合分工牵制与最小权限原则。

（4）云端服务供应商应参考NIST 800-61（Computer Security Incident Handling Guide），建立信息安全事件应变小组，制订信息安全事件应变措施与标准程序，确认其紧急应变处理的能力，并依照法规要求进行通报，以避免事件的扩大，应事先了解供应商对于信息安全事件的监控方式与事件处理流程。在合同或服务等级协议中，须明订信息安全事件的因应处理事项，包括事故相关轨迹记录的汇集、检验、分析与鉴识报告。例如于多租户的云端环境中发生信息安全事件，须确认如何区隔与事件有关的数据，并且不侵犯到其他用户的隐私。此外一旦采取系统回复的方式处理信息安全事件，必须确保事件过程的日志记录被妥善保存，并可提供后续调阅。用户必须与供应商更紧密地配合进行事件调查。

3 云端环境下应用不安全问题相关建议

针对应用不安全问题，在云端环境下运作的应用程序，必须采取更严谨的安全软件发展生命周期（Secure Software Development Life Cycle, SSDLC），意即于需求分析、设计、开发、测试、上线、维护等每一阶段，都必须考虑安全性的需求；在非大幅改变原有的软件发展流程下，强化相关流程的安全性，并在开发阶段即尽早排除安全上的问题，上线后也应定期检视应用程序是否含有可能的安全漏洞，以便开发、测试及后续的维护成本得以降至最低，相关安全建议如下：

（1）在云端应用程序发展的各阶段中，都须进行信息安全的评估或检测，包括针对云端安全威胁与弱点的评估、程序源代码的安全性检测、系统上线前的弱点扫描等。

（2）当应用程序间之通讯须跨越不同主机时，安全通道的建立与传输数据的加密是绝对必要的安全措施。

（3）相关应用程序信息可能具有机敏性数据，应重视其执行与存取记录的存放方式与安全管制。

（4）针对内部员工的恶意行为问题，云端用户应尽量使用服务配置标记语言（Service Provisioning Markup Language, SPML），搭配安全宣示标记语言（Security Assertion Markup Language, SAML）与可扩展存取控制标记语言（eXtensible Access Control Markup Language, XACML）以存取供应商提供的连接服务，并建议利用身分辨识与存取管理（Identity and Access Management, IAM）的功能，辅助用户存取云端服务的身分验证、授权与稽核。即使云端服务供应商所提供的身分验证功能无法完全满足用户的要求，仍建议用户应避免采用独特的管理方式，否则将增加身分识别管理的复杂度及未来不易迁移至其他云端服务的困扰。采取业界标准的身分识别方式，必要时，企业也须修改其授权机制，以便延伸至云端服务中。在身分验证方面，用户通常有两种选择，一种是采用企业验证，另一种则是由用户以个人名义，通过普遍的公开服务（例如：Google、Yahoo、Windows live及Open ID等）建立可在多个网站使用的身分验证机制。