2011年7月15日 星期五

[分析] 雲端運算的迷思 - IaaS的安全誰該負責?

許多客戶租用了雲端運算服務,就以為資安的問題,應該都由服務供應商來解決,並且負起相關的責任,但事實上,恐怕不是這麼一回事。

根據Amazon所發布的文件指出,對於其所提供服務的安全,Amazon皆有採取符合相關法規的安全措施(例如SAS 70、ISO 27001、PCI DSS等),但是客戶也具有相對性的責任,必須自己注意控管安全上的問題。

或許您會問,有沒有搞錯?客戶花了錢租用服務,還要自己管好安全的問題?

事實上,如果雲端服務供應商所提供的服務模式是屬於IaaS(基礎架構即服務),這其實是有一些道理的。讓我們先回頭來看到底什麼是IaaS?

根據NIST的定義,所謂的IaaS具有以下特徵:
  • 用戶可使用的是雲端服務供應商所提供的處理、儲存、網路及其他基礎的運算資源
  • 用戶可隨意部署和執行軟體,包括作業系統和應用程式
  • 用戶不必管理或控制底層的雲端基礎設施,但是擁有對作業系統、儲存和部署應用程式的控制,以及管控有限制的網路組件(ex.主機防火牆等)
從以上特徵來看,若客戶能夠自行管控作業系統和應用程式部署,那麼和它有關的安全問題,實際上Amazon是管不到的,也就是說像是因為主機沒有上patch,或是所採用的應用程式本身有漏洞,而造成相關的資安事件,恐怕使用者端的責任會大一些。

Amazon在文件中指出,只要是將IT基礎架構搬移到Amazon所提供的環境,那麼客戶與Amazon之間就具有所謂的「責任分享模式(Shared Responsibilty model)」,也就是說,客戶也必須分擔從主機作業系統、應用程式、虛擬層的相關責任,尤其像是在虛擬環境中的guest OS的安全更新、其他相關的應用軟體,以及Amazon所提供的防火牆設定,客戶需要小心思考所採用的服務,其相對所具有的安全責任和法規問題。

若以生活中的狀況來舉例,我們可以把Amazon想成是一棟出租大樓的管理者,它將大樓中許許多多的辦公室出租給使用者,管理者主要是負責大樓結構是否堅固耐用,並提供基本的水電等基礎設施服務。管理者可以在租約中告知,使用者必須要負責自身辦公室的門禁安全,還有辦公室中的一切行為,必須要合乎法規的要求,不可從事違法的事項。

因此,如果有人常常離開辦公室忘了關門,或是有閒雜人等進出也不在意,結果發生了竊盜的事件,那麼責任應該要由誰來負責呢?

或許您還會問,那管理者都沒有任何責任嗎?其實還是有的,我們可以要求管理者在大樓走道間安裝監視器,並協助調閱出事當天的影像,不過,如果使用者還是輕忽安全的問題,那麼管理者的作為還是鞭長莫及的,所以,對於租用雲端服務可能面臨的安全問題和責任,請使用者務必要三思了。

<參考資料>

沒有留言: