甚麼是雲端保安?

雲端保安確保所有在雲端內的數據及服務都受到保護,不會因攻擊或入侵而影響可用性、一致性及機密性。雲服務商雖然可提供安全的雲端基礎架構,但在分擔雲端保安責任的模式下,用戶也有責任保護在雲端運作的工作負載、應用程式及數據。

雲端防護

雲端保安看似深奧,但簡單而言雲端其實只是包含機構擁有的伺服器、路由器及交換器。您有很多方法可以保護您的業務及堅持所須負上的責任共負模式。讓您可以在盡享雲端優勢的同時,也保持雲上的安全。

在我們討論如何保護雲端基礎架構之前,我們要先看看雲端的結構。今時今日的雲端環境提供很多不同的選擇,包括三種服務模式及四個部署模式。這是根據美國國家標準暨技術研究院(NIST)的 SP 800-145 而設定的。

服務模式包括:

  • 基建即服務(IaaS)讓機構可以自行建構自己的虛擬數據中心(vDC)。
  • 平台即服務(PaaS)提供很多選項讓用戶提供、部署或創造軟件。
  • 軟件即服務(SaaS)讓用戶無須擁有電腦或伺服器來裝置軟件的情況下使用軟件。最佳的例子就是 Microsoft 365(前稱 Office 365)及 Gmail。用戶只須擁有電腦、平板或手機就可以登入網上的軟件。


廠商一般都會用不同名稱來描述他們的產品,與 NIST 的客觀描述截然不同,例如 DRaaS(災難復原)、HSMaaS(硬件保安模組)、DBaaS(數據庫)及 XaaS(任何即服務)。視乎廠商的市場定位,有時用戶會很難決定一個產品到底是 SaaS 還是 PaaS。但最終,了解雲服務商的合約責任仍然是最重要的。雲服務商會透過 HSMaaS(更件保安模組)或 DRMaaS(數碼權益管理)等服務來將雲端保安加入合約中。

四個部署模式為:

  • 公有雲——可讓任何人採購使用。今時今日的最佳例子是 Amazon Web Service(AWS)、Microsoft Azure 及 Google Cloud Platform(GCP)。
  • 私有雲——為一家機構建構,所有硬件都不會與任何人分享。私有雲可建構在公有雲或自身擁有的數據中心之內,也可由專長於私有雲的託管服務商建造。
  • 社區雲——其基本原理是不同機構分享同一基礎架構。服務可以被分享,而數據也可在有關服務上分享。其中一個例子就是由不同部門共用的政府雲架構。
  • 混合雲——這包括使用以上最少兩個部署模式的架構,可以是公有加私有、公有加社區或是私有加社區。另一個可能性就是同時採用三個模式。

 

雲端架構

雲端架構是將元件及次元件以邏輯性及希望有效率的方式組織起來的結構。這個結構令所有元件為同一目標運作,達致最大功能及減低弱點。建構雲架構的基本元件包括網絡、路由器、網絡交換器、伺服器及其他系統,包括防火牆及入侵偵測系統等。此外,雲架構亦包括所有在伺服器內的元素,包括 hypervisor 及虛擬機器等,當然亦包括有關軟件。雲架構亦需要一個雲服務商、雲端架構師及雲中介以創建、管理及買賣雲服務。

很多在雲架構上使用的名稱都只須在原有的舊名稱上加入「雲」這個字即可,例如雲消費者。假如您了解消費者的定義,您會很清楚這個新名稱就代表雲服務用戶,而不會代表電訊服務用戶。

在 NIST SP 500-299 內的基本術語包括:

  • 雲消費者——透過雲服務商使用雲服務的個人或公司。
  • 雲服務商——擁有資源為消費者提供所需服務的個人或公司。這包含創建伺服器、虛擬機器、數據存儲及所有客戶需要資源的科技。
  • 雲中介——為消費者管理雲服務供應、使用及表現的個人或公司,他們會代表消費者與服務商討論合作安排。
  • 雲載體——連繫用戶至雲端的服務供應商,例如互聯網服務商。對機構而言,這通常是一個多協議標籤交換(MPLS)的聯繫。
  • 雲審計師——為雲提供者環境進行審核的個人或公司。審核內容包括私隱及保安等。

雲端保安架構

雲端保安始於一個加入保安成份的基礎雲端架構,傳統保安成份包括防火牆、反惡意程式及入侵偵測系統。參與設計雲端保安架構的包括雲審計師、保安架構師及保安工程師。

也就是說,雲端保安架構亦不只限於硬件或軟件。

雲端保安架構應由風險管理開始。了解可能出現問題的環節及可能面對的負面影響可以協助機構作出負責任的決定。而三個最關鍵的討論範圍就是業務持續性、供應鏈及實體保安。

如果您的雲供應商出現故障,您的業務會有甚麼影響? 將伺服器、服務及數據放在雲端並不等如您不需要進行業務持續性及災難復原策劃。

如果任何人都可以步入雲供應商的數據中心,甚麼事會發生? 在 AWS、GCP 及 Azure 三大龍頭供應商,此事可能不會發生,但這並非重點所在,因為他們都在數據中心本身的保安作出了重大投資。但其他雲服務商又是怎樣的? 您應該要求雲服務商的數據中心進行演練普查,並參與其審計,更要留意所得答案。他們是否容許您在翌日檢查數據中心? 如果您很容易就進入其數據中心,這服務商可能不是一個理想的選擇。

小型雲服務商可能根本沒有數據中心,他們可能會採用及轉售大型雲服務商的產能,而這亦是使用雲端的優勢。假如您不知道雲服務商之間的關係,在法律、法規及合約方面可能出現額外問題。您只須發問這個簡單問題:我的數據在那裡? 假如雲服務商有多個層面的服務,其答案可能很複雜。而答案也可能帶來法律後果,例如與歐盟通用資料保護法規(GDPR)相關的規定。

機構的雲端保安架構元件可能亦包含雲保安服務,例如可以添置資料外洩防護(DLPaaS)服務,或是其他可協助保安的工具,如能夠搜索個人可識別資訊的掃瞄工具,為雲架構提供充份防護。另一方面,雲保安管理亦是必須的,以確保這些服務能運作如常。

雲端遵規

機構需要符合很多法例、法規及合約的要求。當您把數據及服務交予他人處理,審計要確認是否遵規是一件複雜的事。

先問問自己:「我擔心甚麼?」 這可以協助您決定要問雲服務商甚麼問題。從法律角度來看,機構需要符合歐盟通用資料保護法規(GDPR)、Sarbanes-Oxley – U.S. financial data protection(SOX)、美國健康保險隱私及責任法案(HIPAA)及其他法規。同時,信用卡防護亦在合約法下受支付卡產業安全標準協會(PCI-DSS)監管。

在識別遵規項目後,您可以採取很多行動進行處理,其中一項就是審計。審計應以標準化方式及經認證的方法進行,例如 American Institute of Certified Public Accountants 的 SSAE 18(Statement of Standards on Attestation Agreements No. 18)。審計結果將發現那些項目不符合法規要求。在決定選擇那個雲供應商時,最重要一點就是要參考報告以了解數據中心的保安層級及可預期甚麼。

基礎架構即代碼(IaC)

顧名思義,基礎架構即代碼就是將基礎架構以 DevOps 一樣邏輯的代碼方式處理,而無須為個別的路由器、伺服器、網絡交換器及軟件進行配置。如果我們能在創建及管理基礎架構上應用 DevOps 的優勢,可以帶來不少好處。在雲端,您的基礎架構會變成虛擬,因為它們只會是代碼,而非硬件。一個路由器事實上只是置於一個獨特或是特別建構版本電腦上的代碼,當硬件被移除後,只有代碼留下。

讓我們在開發及部署此代碼時應用邏輯。自動化工具可以用更簡易及受控方式部署及管理軟件。假如採用這些工具管理虛擬基礎架構,我們可以更簡易和以受控方式部署及管理雲端。

雲端保安議題