課程教材教材名稱云端運算PART4

1、Part4-課程教材教材名稱:雲(yún)端運算PART4國立高雄大學資訊工程學系 陳建源教授計劃名稱: 99教育部資訊軟體人才培育推廣計畫跨校資源中心:雲(yún)端計算與服務/互動多媒體(國立中山大學)課程名稱: 雲(yún)端運算 1雲(yún)端資訊安全1主講人:陳建源研究室 :法401Email: 2資料來源雲(yún)端運算使用案例第 4 版由雲(yún)端運算使用案例討論小組製作之白皮書第 4 版2010 年 7 月 2 日31.雲(yún)端運算之安全議題Outline法規(guī)： 法規(guī)並不是技術，但是對於功能的影響甚大，訂定不好的法規(guī)， 將造成安全上無法避免的錯誤。安全管控： 雲(yún)端供應者必須有能力，提供安全管控的技術，使消費者有足夠的 安全保障。安全

2、聯(lián)合模式： 雲(yún)端供應者建構不同的聯(lián)合模式，以落實安全控管?？蛻艚?jīng)驗： 列舉一些客戶實力，以了解雲(yún)端安全議題。2.服務等級協(xié)議 (SLA) SAL說明雲(yún)端供應者與雲(yún)端消費者之間的互動。41.雲(yún)端運算之安全議題雲(yún)端運算安全 事實上，雲(yún)端並未帶來新的安全問題，但也無法消除原有 的安全問題，但由於資料集中放置於雲(yún)端主機，所以雲(yún)端 與過去比較最大差異在於企業(yè)失去對資料的掌控權。雲(yún)端運算之安全議題法規(guī)：法規(guī)並非技術問題，但法規(guī)所影響的安全要求高於功能要求。安全管控：雲(yún)端提供的基礎架構是否有能力確保安全。安全聯(lián)合模式：為落實安全管控，需要不同的聯(lián)合模式，雲(yún)端供應者應透過現(xiàn)有安全標準提供聯(lián)合模式。5法規(guī)： 世

3、界各國政府非常關切雲(yún)端運算的使用問題，許多政府制定較嚴格的法律，禁止敏感資料儲存於國外實體伺服器中，違法者將處以重刑，因此任何組織若要落實雲(yún)端運算，且將敏感資料儲存於雲(yún)端中，必須證明雲(yún)端供應者並未將該資料儲存在國外的實體伺服器中。 除了政府外，許多知名公司亦制訂相同規(guī)範，以落實雲(yún)端安全。1.雲(yún)端運算之安全議題6安全管控：1.雲(yún)端運算之安全議題安全控管內(nèi)容說明資產(chǎn)管理管理雲(yún)端之基礎架構的所有硬體、網(wǎng)路及軟體等資產(chǎn)（實體與虛擬皆然），包括對實體或網(wǎng)路資產(chǎn)之擷取負責，另外加以審核與監(jiān)管。加密：金匙及憑證管理任何雲(yún)端安全系統(tǒng)都需要一套基礎架構之加密系統(tǒng)。使用加密系統(tǒng)必需管理金匙與憑證，以落實基本的加解

4、密功能。資料/儲存安全所有雲(yún)端上資料儲存，可能面對其他消費者竊取，必須以密文格式儲存，同時必須保證消費者不能解出其他消費者的密文資料。終端安全消費者必須能確保雲(yún)端資料的終端安全，其中包含由網(wǎng)路協(xié)定及設備種類所限制之終端。7安全管控：1.雲(yún)端運算之安全議題安全控管內(nèi)容說明事件審核與通報當雲(yún)端系統(tǒng)產(chǎn)生錯誤或有安全上的漏洞時，雲(yún)端供應者必須及時通知消費者，另外消費者亦有權限查詢歷史事件。身份、角色、存取控制與屬性定一身份、角色、權利及其他個人及服務屬性時，必須滿足致性，才能有效落實存取控制，並維護雲(yún)端資源安全之政策。網(wǎng)路安全必須在開關、路由器、封包等方面確保網(wǎng)路流量安全，另外IP 程式本身也應符合安

5、全條件。安全政策安全政策必須事先定義、並加以落實，以一致、機器可讀方式，支援存取控制、資源分配及其他決定，此種定義方法必須完整、健全，才能讓 SLA 及授權自動生效。8安全管控：1.雲(yún)端運算之安全議題安全控管內(nèi)容說明服務自動化以自動化方式管理，分析安全管控流程與程序，另外支援安全監(jiān)管審核，包含通報任何違反安全政策或客戶憑證協(xié)議的事件。工作量及服務管理必須依據(jù)安全政策及客戶憑證協(xié)議，以配置、部署及監(jiān)控服務。9安全管控：應用於各項管控的部分標準1.雲(yún)端運算之安全議題安全控管相關標準加密：金匙及憑證管理KMIP：OASIS金匙管理互通性協(xié)定(. org/committees/kmip/)資料/儲存安

6、全IEEE P1619：由 IEEE儲存安全工作組所開發(fā)之)身份、角色、存取控制與屬性SAML：OASIS安全判定標示語言()身份、角色、存取控制與屬性X.509 憑證 ：ITU公開金匙與屬性基礎架構建議內(nèi)容()安全政策XACML：OASIS可延伸存取控制標示語言 ()工作量及服務管理SPML：OASIS服務供應標示語言(. org/committees/proOision/)10安全聯(lián)合模式：聯(lián)合可以讓多項獨立資源如同單一資源運作，雲(yún)端運算本身即為聯(lián)合資源，故在單一雲(yún)端運算解決方案中，許多資產(chǎn)、身分、配置及其他細節(jié)必須聯(lián)合，才能發(fā)揮效果。1.雲(yún)端運算之安全議題11安全聯(lián)合模式：信任：指雙方在

7、認證機構下建立信任關係的能力，認證機構能夠交換憑證（通常為 X.509 憑證），並以此確保資訊安全及建立已簽的安全記號（通常為 SAML），此信任聯(lián)合是所有其他安全聯(lián)合模式的基礎。身分管理：藉由使用者憑證（帳號、密碼、文件）來證明身分，並回覆符合使用者已簽的安全記號，服務供應者若信任身分供應者，對不認識的使用者，亦可使用安全記號，開放適當權限給使用者。1.雲(yún)端運算之安全議題12安全聯(lián)合模式：使用管理：能夠制定政策（通常為 XACML）檢視安全記號，以管理雲(yún)端資源使用情況，使用資源會受到多個因素掌控，例如限制僅特定角色使用者可使用資源、只能在特定協(xié)定中使用、限制使用時段等。單一登入/登出：根據(jù)可

8、信任機構憑證匯整登入資訊，由於已認證使用者已是特定角色，單一登入功能讓使用者只需登入某一應用程式，即可使用其他信任相同機構的其他應用程式。單一登出模式亦然，在許多情況下，使用者若自某一應用程式登出，就必須同時登出其他應用程式，單一登入模式需以身分管理模式為基礎才能執(zhí)行。1.雲(yún)端運算之安全議題13安全聯(lián)合模式：審核及監(jiān)管：紀錄雲(yún)端內(nèi)活動成為審核及監(jiān)管資料。聯(lián)合審核為必要工作，可確保並記錄活動符合 SLA 及法規(guī)要求。配置管理：結合服務、應用程式及虛擬機器的配置資料，包括使用政策及跨網(wǎng)域授權資訊。1.雲(yún)端運算之安全議題14客戶經(jīng)驗-雲(yún)端運算能力：美國有一家保險公司設計一套索賠應用程式，專門收集被保

9、險人資料及所受損失情況。當預見颶風襲擊美國墨西哥灣地區(qū)，可能造成重大財產(chǎn)損失，導致索賠案件大增，也大幅提高企業(yè)資訊科技基礎架構負荷。此臨時狀況，該公司決定與公用雲(yún)供應者合作，使用虛擬機器應付此大量要求，企業(yè)必須掌控自有系統(tǒng)與雲(yún)端虛擬機器的使用權，只限公司合格經(jīng)理人取用，此外，企業(yè)也要安全地將雲(yún)端申請案的資料送回企業(yè)防火牆內(nèi)，而雲(yún)端供應者必須確保虛擬機器一旦關閉後，應用程式與資料記錄會徹底消失。1.雲(yún)端運算之安全議題15解決客戶問題：使用公用雲(yún)後，讓企業(yè)能處理異常大增的工作量。臨時透過添購、維護、供電與冷卻額外系統(tǒng)來處理可能面臨的巨大工作量，並不符合成本效益，採購時效也可能趕不及，該公司內(nèi)部已有

10、運算能力，可應付日常維運，故可在所需時間自動增加運算能力。要求與掌控：1.雲(yún)端運算之安全議題要求掌控限特定人士可使用影片角色、身分、存取控制與屬性資產(chǎn)管理網(wǎng)路安全虛擬機器關閉時，所有應用程式及資料紀錄必須刪除工作量及服務管理16聯(lián)合模式：信任、使用管理、配置管理角色：索賠核算員、保險代理人、審核員安全使用案例經(jīng)驗-雲(yún)端運算能力17客戶經(jīng)驗-雲(yún)端開發(fā)與測試：網(wǎng)路零售業(yè)者需要開發(fā)一套新的 Web 2.0 店面應用程式，但不想增加資訊科技部門與現(xiàn)有資源負擔，故選擇一家雲(yún)端供應者，提供雲(yún)端開發(fā)環(huán)境，儲存開發(fā)工具及來源碼，由另一家雲(yún)端供應者提供測試環(huán)境，讓新應用程式可與各種機器及大量工作互動。因為運用兩

11、家供應者區(qū)隔開發(fā)與測試，故雙方聯(lián)合非常重要。1.雲(yún)端運算之安全議題18解決客戶問題：在開發(fā)者眼中，使用雲(yún)端開發(fā)工具後，就不必在每位開發(fā)者的電腦裡安裝、配置及管理工具，工具更新也只需在雲(yún)端主機進行一次，所有開發(fā)者就自動取得同一版本的工具。產(chǎn)品建置速度顯然加快，大規(guī)模建置工作可運用雲(yún)端供應者的基礎架構彈性，且在雲(yún)端開發(fā)時，能取用雲(yún)端資料庫裡最新版來源碼。就測試而言，由於公司從傳統(tǒng)介面轉(zhuǎn)移至 Web 2.0 介面，對伺服器的額外負擔無法預估。相較於靜態(tài)網(wǎng)頁，Web 2.0 介面與伺服器互動更頻繁，故在雲(yún)端測試新應用程式時，測試團體能計算新介面產(chǎn)生的衝擊。1.雲(yún)端運算之安全議題19解決客戶問題：在雲(yún)端

12、進行新應用程式測試容易許多，若測試團隊要求每秒自500 臺不同機器傳來，以了解應用程式的表現(xiàn)，雲(yún)端計算可承受這種試驗，由虛擬機器模擬不同機器（作業(yè)系統(tǒng)、版本、協(xié)定等）來測試應用程式。若測試團隊擬將規(guī)模增至千臺或萬臺機器，在雲(yún)端測試的成本效能也遠低於內(nèi)部基礎架構測試。1.雲(yún)端運算之安全議題20要求與掌控：1.雲(yún)端運算之安全議題要求掌控在單一中央位置安裝並維護開發(fā)者工具資產(chǎn)管理虛擬機器關閉時，所有應用程式及資料紀錄必須刪除工作量及服務管理單次登入通行開發(fā)雲(yún)與測試雲(yún)加密終端安全角色、身分、存取控制與屬性網(wǎng)路安全限制使用來源碼及測試計畫人士資產(chǎn)管理角色、身分、存取控制與屬性開發(fā)與測試必須自動關閉虛擬主

13、機服務自動化開發(fā)與測試必須通報虛擬機器使用及表現(xiàn)數(shù)據(jù)事件審核與通報21聯(lián)合模式：信任、身分管理、使用管理、單一登入、審核與監(jiān)管、配置管理角色：開發(fā)者、測試者、管理者、審核員1.雲(yún)端運算之安全議題22客戶經(jīng)驗-儲存在雲(yún)端：一家金融投資公司將為經(jīng)理人及分公司推出新投資產(chǎn)品，已製作數(shù)段影片，向經(jīng)理人及分公司說明新產(chǎn)品特長，由於影片檔案很大，必須具備隨需應變?yōu)g覽方式，故儲存在雲(yún)端可減少企業(yè)基礎架構要求，但影片觀看者身分需嚴格限制，為商業(yè)競爭考量，只有合格經(jīng)理人能觀看影片，更重要的限制是，在產(chǎn)品推出前夕，影片及產(chǎn)品細節(jié)必須保密。該公司決定採用公用雲(yún)儲存影片，負責安全管控及影片播放，雲(yún)端解決方案必須具備使

14、用存取控制機制，以落實該公司對影片的安全政策。1.雲(yún)端運算之安全議題23解決客戶問題：使用公用雲(yún)儲存服務後，讓消費者能處理大量資料檔案及頻寬要求，但不會增加資料中心的實體資源。然而，因為政府法規(guī)與組織要求，安全格外重要，公用雲(yún)儲存供應者若無法保證監(jiān)管功能，無論效能如何、價格或彈性高低，都不能採用。1.雲(yún)端運算之安全議題24要求與掌控：1.雲(yún)端運算之安全議題要求掌控限制特定人士可使用應用程式角色、身分、存取控制與屬性資產(chǎn)管理網(wǎng)路安全 政策儲存在雲(yún)端的資料必須安全加密資料/儲存安全儲存在雲(yún)端的資料必須轉(zhuǎn)移至企業(yè)防火牆加密資料/儲存安全終端安全網(wǎng)路安全25聯(lián)合模式：信任、身分管理、使用管理、審核與監(jiān)

15、管角色：影片製作單位、企業(yè)經(jīng)理人、企業(yè)分公司、審核員、法規(guī)單位1.雲(yún)端運算之安全議題26安全管控與消費者經(jīng)驗的關係：1.雲(yún)端運算之安全議題安全管理雲(yún)端運算能力雲(yún)端開發(fā)與測試儲存在雲(yún)端資產(chǎn)管理OOO加密：金匙與憑證管理OO資料/儲存安全O終端安全OO活動審核與通報O27安全管控與消費者經(jīng)驗的關係：1.雲(yún)端運算之安全議題安全管理雲(yún)端運算能力雲(yún)端開發(fā)與測試儲存在雲(yún)端身分、角色、存取控制與屬性OOO網(wǎng)路安全OO政策O服務自動化O工作量與服務管理OO28安全聯(lián)合模式與消費者經(jīng)驗的關係：1.雲(yún)端運算之安全議題安全聯(lián)合模式雲(yún)端運算能力雲(yún)端開發(fā)與測試儲存在雲(yún)端信任OOO身份管理OO使用管理OOO單一登入O審核

16、與監(jiān)管OO配置管理OO292.服務等級協(xié)議 (SLA)雲(yún)端供應者與雲(yún)端消費者之間的關係必須以服務等級協(xié)議 (SLA)來加以說明安全服務措施。因為雲(yún)端消費者信任雲(yún)端供應者所遞送的若干基礎設施服務，因此必須定義這些服務，以及使用這些服務的方式。302.服務等級協(xié)議 (SLA)何謂 SLA？SLA 說明了雲(yún)端供應者與雲(yún)端消費者之間的互動。SLA 包含： 供應者將實施的一套服務 每項服務的完整、具體定義 供應者與消費者的責任 用以判定供應者是否信守實施服務的一套計量方式 一套監(jiān)督服務的審核機制 如未符合 SLA 條款時，消費者與供應者可執(zhí)行的補救方式 SLA 將如何隨著時間改變312.服務等級協(xié)議 (

17、SLA)服務等級目標SLO 以精確、可測量的條款定義出服務特性。下列為部分 SLO 的範例：系統(tǒng)不應具有 10 個以上的待決要求。處理要求的時間應少於 3 秒。讀取要求的資料串流應於 2 秒內(nèi)啟動。同一時間至少要有 5 個 OM 執(zhí)行個體是 99.99999% 可用的 ，而且每家供應者至少要有三個資料中心都能提供該執(zhí)行個體。322.服務等級協(xié)議 (SLA)服務等級管理無須監(jiān)督與測量服務的效能，就能瞭解是否符合 SLA 條款，這是不可能的事。服務等級管理就是收集並處理效能資訊的方式。服務的衡量係基於 SLA 中的服務等級目標。332.服務等級協(xié)議 (SLA)SLA 考量事項1業(yè)務等級目標2供應者

18、與消費者的責任3業(yè)務持續(xù)性與災難復原4冗餘系統(tǒng)5維護6資料位置7資料扣押8供應者無法履行義務9司法管轄權342.服務等級協(xié)議 (SLA)SLA 要求1安全性2資料加密3隱私權4資料保留與刪除5硬體資料清除與銷毀6符合法規(guī)7透明度8認證9關鍵績效指標的術語10監(jiān)督11可審查性352.服務等級協(xié)議 (SLA)SLA 要求12. 計量方式 處理量 服務回應的迅速程度 可靠性 服務可用的頻率 負載平衡 出現(xiàn)需靈活應變的狀況時 (如啟動或終止新的虛擬機) 的處理 耐久性 資料遺失的可能性 彈性 固定資源是否有能力無限成長，並載明 (如儲存或頻寬的上限) 限制 線性 系統(tǒng)隨著負荷量增加時的效能 敏捷 供應

19、者隨著消費者的資源負荷量增減的反應速度 自動化 供應者無需人力互動而處理要求的比例 客戶服務回應時間 供應者回應服務要求的速度，在此意指當雲(yún)端的隨需應變服務及自助式服務等層面出現(xiàn)問題時，所需的人力互動。362.服務等級協(xié)議 (SLA)SLA 要求13. 可用電腦處理的 SLA14. 人力互動372.服務等級協(xié)議 (SLA)SLA 要求與雲(yún)端遞送模式要求平臺即服務基礎架構即服務軟體即服務資料加密OO隱私權OOO資料保留與刪除OO硬體資料清除及銷毀OO符合法規(guī)OOO382.服務等級協(xié)議 (SLA)SLA 要求與使用案例情況要求使用者與雲(yún)端企業(yè)、雲(yún)端、使用者企業(yè)與雲(yún)端企業(yè)、雲(yún)端、企業(yè)私有雲(yún)變更雲(yún)端供

20、應者混合雲(yún)資料加密O隱私權OOOOOOO資料保留與刪除OOO硬體資料清除及銷毀OOO符合法規(guī)OOOOOOO392.服務等級協(xié)議 (SLA)SLA 要求與使用案例情況要求使用者與雲(yún)端企業(yè)、雲(yún)端、使用者企業(yè)與雲(yún)端企業(yè)、雲(yún)端、企業(yè)私有雲(yún)變更雲(yún)端供應者混合雲(yún)透明度OOOOOOO認證OOOOOO關鍵績效指標的術語OOOOO計量方式OOOOOO可審查性O監(jiān)督OOOOOO可用電腦處理的SLAO40主講人:陳建源研究室 :法401Email: 雲(yún)端資訊安全241（中央社記者吳佳穎臺北2010年11月26日電）雲(yún)端潮流凸顯資安議題重要性。防毒業(yè)者表示，企業(yè)雖有疑慮，但雲(yún)端依然商機龐大；雲(yún)端安全聯(lián)盟提供美國政府經(jīng)

21、驗，說明適度區(qū)隔是雲(yún)端資安可行方式-為推動安全的雲(yún)端運算環(huán)境，財團法人資訊工業(yè)策進會今天舉辦2010國際資訊安全技術高峰會，邀請國內(nèi)外產(chǎn)研界人士共同討論。趨勢科技全球研發(fā)長暨亞太區(qū)執(zhí)行副總裁張偉欽表示，目前雖有不少對於雲(yún)端運算資安的疑慮與不信任，但業(yè)界還是出現(xiàn)很多資訊外包託管的雲(yún)端風潮，這類市場近年的營收成長30%以上，商機龐大。42（中央社記者吳佳穎臺北2010年11月26日電）另外，由於企業(yè)對雲(yún)端信賴度不足，張偉欽預估還要 5年時間，使用公有雲(yún)服務才會明顯。但他強調(diào)，防毒產(chǎn)業(yè)要先預見趨勢，抓緊雲(yún)端潮流，提供因應的解決方案。雲(yún)端安全聯(lián)盟（Cloud Security Alliance，CSA

22、）創(chuàng)辦人馬瑟爾（Tim Mather）說明，企業(yè)進入雲(yún)端服務首重安全評估，如美國政府目前透過雲(yún)端運算處理的大多是沒有機密性、沒有法律以及財務敏感的資料，且運作系統(tǒng)和一般雲(yún)端運作分開，適度區(qū)隔的確必要。中央研究院院士李德財分享臺灣與美國院校的研究成果，以及臺灣學界未來資安的研究方向，例如臺科大主要研究軟體安全驗證、交大負責 WiMAX等多重網(wǎng)路環(huán)境安全、成大則專門研究殭屍電腦病毒偵測。43資料來源研究報告 雲(yún)端運算的七大安全威脅Top Threats to Cloud ComputingSecurity Guidance for Critical Areas of Focus in Cloud

23、Computing雲(yún)端安全聯(lián)盟(CSA, Cloud Security Alliance)：於2009年在美國成立，是一家在雲(yún)端計算環(huán)境下提供安全方案的非營利性組44在這份文件中，將雲(yún)端安全分為兩大領域，分別為治理 (Governance) 與維運 (Operation)，其下各有 5 個與 7 個分類，共計 12 個分類：治理 (Governance) 1.治理與企業(yè)風險管理 (Governance and Enterprise 2.Risk Management) 3.法律與電子資料搜尋 (Legal and Electronic Discovery) 4.法規(guī)遵守與稽核 (Complia

24、nce and Audit) 5.資訊生命週期管理 (Information Lifecycle Management) 6.可攜性與互通性 (Portability and Interoperability)Security Guidance for Critical Areas of Focus in Cloud Computing45維運 (Operation) 1.傳統(tǒng)上的安全、業(yè)務持續(xù)與災難復原 (Traditional Security, Business Continuity, and Disaster Recovery) 2.資料中心維運 (Data Center Operat

25、ions) 3.事件處理、通知與回復 (Incident Response, Notification, and Remediation) 4.應用程式安全 (Application Security) 5.加密與金匙管理 (Encryption and Key Management) 6.身份與存取管理 (Identity and Access Management) 7.虛擬化 (Virtualization)Security Guidance for Critical Areas of Focus in Cloud Computing46治理 (Governance) 1.治理與企業(yè)風險

26、管理 (Governance and Enterprise Risk Management)健全發(fā)展的資訊安全治理過程關切地識別以及實施適當?shù)慕M織結構、流程和管制，以維持有效的資訊安全治理、風險管理和法規(guī)遵從。 組織在任何雲(yún)部署模型中也應保證合理的資訊安全，在資訊供應鏈中，主要包含雲(yún)端供應商和客戶的雲(yún)端計算服務以及所支持的第三方供應商。最根本的問題：47治理 (Governance) 2.法律與電子資料搜尋 (Legal and Electronic Discovery) 在一個組織與其資訊之間的關係中，雲(yún)端計算創(chuàng)造了新的動力。48治理 (Governance) 2.法律與電子資料搜尋 (Le

27、gal and Electronic Discovery) 功能方面：確定哪些功能和服務，在雲(yún)端計算具有合法的參與者和利益相關者。 管轄方面：涉及政府管理方式(法律和法規(guī)影響雲(yún)端計算服務)、利益相關者和所涉及的資料資產(chǎn)。合同方面：涉及的合同結購、條款、條件以及執(zhí)法機制，使利益相關者在雲(yún)端計算環(huán)境下，可以解決和管理所遭遇的法律和安全問題 。最根本的問題：49治理 (Governance) 3.法規(guī)遵守與稽核 (Compliance and Audit) 針對給定的雲(yún)端服務之使用的法規(guī)適用性。明確劃分雲(yún)端客戶及雲(yún)端供應商之間需遵守的責任。雲(yún)端供應商必須有能力生產(chǎn)所需要的證據(jù)以符合規(guī)定。雲(yún)端客戶的角

28、色可拉近雲(yún)端供應商和審計者的差異 。50治理 (Governance) 4.資訊生命週期管理 (Information Lifecycle Management) 資料安全的生命週期是不同於資訊的生命週期管理，反映了不同的安全需求。資料安全的生命週期包括六個階段： 51治理 (Governance) 4.資訊生命週期管理 (Information Lifecycle Management) Data Security life cycleCreate:Classify Assign RightsUse:Activity Monitoring and EnforcementRights Mana

29、gementLocal ControlsApplication SecurityStore:Access Controls Encryption Rights Management Content DiscoveryShare:CMP(DLP)EncryptionLocal ControlsApplication SecurityArchive:EncryptionAsset ManagementDestroy:Crypto-ShreddingSecure DeletionContent Discovery52治理 (Governance) 4.資訊生命週期管理 (Information Li

30、fecycle Management) 資料安全性：機密性、完整性、可用性、真確性、授權、認證和不可否認性。 資料的位置：必須確保儲存資料的位置在合同或SLA ，法規(guī)許可的位置，這些資料包含所有的副本和備份。例如，歐洲聯(lián)盟電子健康記錄所使用“兼容的存儲“的規(guī)定，對於資料所有者和雲(yún)端服務供應商，是一項額外的挑戰(zhàn)。 53治理 (Governance) 4.資訊生命週期管理 (Information Lifecycle Management) 資料清除：資料必須徹底有效地轉(zhuǎn)移到被視為銷毀 。因此，在雲(yún)中的技術包含定位資料，刪除 /銷毀資料，移動資料，必須在需要時是可用的。 合併其他雲(yún)端客戶的資料：資

31、料- 特別是機密/敏感資料不得與其他客戶資料混合。當在使用，儲存資料時，需要混合或攙和，將是一個挑戰(zhàn)，尤其有關資料安全和位置。 54治理 (Governance) 4.資訊生命週期管理 (Information Lifecycle Management) 資料備份和恢復計劃：雲(yún)端對於資料備份和恢復計劃，必須即時且有效，以防止資料丟失和破壞。不要假設雲(yún)端資料一定有備份和可恢復性。 資料檢索：由於法律制度仍然集中在電子方式檢索，雲(yún)端服務供應商和資料擁有者將著重在合法下的檢索，並確保當局要求的所有資料已被檢索。在雲(yún)端環(huán)境下，這個問題是非常困難，也需要管理，技術和法律控制。 55治理 (Governa

32、nce) 4.資訊生命週期管理 (Information Lifecycle Management) 資料匯合和推斷：雲(yún)端中的資料，將有資料匯合和推斷的問題，可能導致違反保密的敏感和機密資訊。因此，必須保證資料的擁有者和利益相關資料，在保護下進行資料混合或聚合（如醫(yī)療記錄包含姓名和醫(yī)療資訊混合匿名的資料，但含有相同的“交叉領域“）。 56治理 (Governance) 5.可攜性與互通性 (Portability and Interoperability) 續(xù)約的時間內(nèi)，無法接受的成本增加量。雲(yún)端供應者停止經(jīng)營活動。雲(yún)端供應者在無替代方案下，突然關閉一個或更多使用中的服務。無法接受的服務質(zhì)量下

33、降，如不符合要求的關鍵性能或無法實現(xiàn)服務等級協(xié)議（SLAs）。雲(yún)端供應者與客戶的業(yè)務糾紛。57維運 (Operation) 1.傳統(tǒng)上的安全、業(yè)務持續(xù)與災難復原 (Traditional Security, Business Continuity, and Disaster Recovery) 整體累積的知識如傳統(tǒng)的物理安全、業(yè)務連續(xù)性規(guī)劃和災難恢復等，利用雲(yún)端計算是十分洽當?shù)摹?58維運 (Operation) 2.資料中心維運 (Data Center Operations) 當企業(yè)和消費者的IT服務轉(zhuǎn)移到雲(yún)中，雲(yún)端計算供應商將繼續(xù)增加。而資料中心也出現(xiàn)了類似的增長。 IT資源共享，創(chuàng)造效

34、率和規(guī)模經(jīng)濟 。59維運 (Operation) 3.事件處理、通知與回復 (Incident Response, Notification, and Remediation) 當安全事故，資料破壞或其他事件發(fā)生時，雲(yún)端計算的特性，難以確定誰主導。標準安全事件響應機制可以用於修改以適應變化的需要來共同報告責任。該域名可提供如何處理這些安全事件。 60維運 (Operation) 4.應用程式安全 (Application Security) 雲(yún)環(huán)境中的應用都將受到影響，主要影響：應用安全架構軟體開發(fā)生命週期（SDLC）遵守工具和服務漏洞 61維運 (Operation) 5.加密與金匙管理 (

35、Encryption and Key Management) 雲(yún)端客戶和供應商必須防止資料遺失和盜竊。雲(yún)端客戶希望他們的供應商對資料進行加密，以確保它們安全，無論資料儲存在哪裡，雲(yún)端供應商都必需保護客戶的敏感資料。62維運 (Operation) 5.加密與金匙管理 (Encryption and Key Management) 雲(yún)端環(huán)境是由很多客戶和雲(yún)端供應者，而雲(yún)端供應者優(yōu)先獲得這些環(huán)境中的資料。因此機密資料託管在雲(yún)端必須得到保護，使用的方法為相結合的存取控制，合同責任，加密。其中，加密是提供最低限度的安全，可避免雲(yún)端供應者檢測操作失誤。 Encryption for Confidenti

36、ality and Integrity63維運 (Operation) 5.加密與金匙管理 (Encryption and Key Management) 加密於網(wǎng)路上傳輸?shù)馁Y料：目前最需要加密的網(wǎng)路上資料，如信用卡號碼，通行碼和私密金匙。雖然雲(yún)端服務供應商的網(wǎng)路可能比傳統(tǒng)網(wǎng)路更安全性，但是雲(yún)端資料是由許多不同的組件，和不同的組織所共享。因此，重要的是要如何保護這些敏感資訊在傳輸過程中不被竊取，同樣的需求也必須在SaaS，PaaS和IaaS環(huán)境中實現(xiàn)。64維運 (Operation) 5.加密與金匙管理 (Encryption and Key Management) 靜態(tài)資料之加密：儲存的加密

37、資料，即密文，可以防止惡意的雲(yún)端服務供應商或惡意合租以及對某些類型的應用濫用。靜態(tài)資料加密是常見的IaaS環(huán)境內(nèi)，使用各種供應商和第三方工具。在PaaS環(huán)境的靜態(tài)資料加密一般比較複雜，需要供應商提供儀器或特殊定制。在SaaS環(huán)境的靜態(tài)資料加密，並不能由雲(yún)端客戶直接執(zhí)行，需要要求他們的供應商代為執(zhí)行。 65維運 (Operation) 5.加密與金匙管理 (Encryption and Key Management) 備份資料的加密：這可以防止濫用備用媒體的遺失或被盜。顯然地，理想的情況下，雲(yún)端服務供應商可以實現(xiàn)。然而，作為雲(yún)端客戶的資料擁有者，必須驗證這種加密的責任，所以必須考慮基礎設施來進行

38、加密處理。 Encryption for Confidentiality and Integrity66維運 (Operation) 5.加密與金匙管理 (Encryption and Key Management) 保謢私密金匙儲存：私密金匙之儲存本身必須得到保護，就像任何其他敏感資料。他們必須得到保護，儲存，傳輸，並備份。私密金匙之儲存不當，可危及所有加密的資料。 存取私密金匙：存取私密金匙必須限制在特別需要個別私密金匙之個體。還應該有政策來管理這些私密金匙之儲存 (它使用分離的角色，以幫助存取控制);即私密金匙的給定者與儲存者是不同的。 金匙管理67維運 (Operation) 5.加密

39、與金匙管理 (Encryption and Key Management) 私密金匙備份和可恢復性：私密金匙損失必然意味著喪失這些金匙保護的資料。雖然破壞資料是一種有效的方法，意外遺失保護關鍵資料金匙任務將是毀滅性的一個災難，因而安全的備份和恢復解決方案必須得到執(zhí)行。金匙管理68維運 (Operation) 5.加密與金匙管理 (Encryption and Key Management) 在雲(yún)端中有幾個標準和準則適用於私密金匙管理。OASIS的私密金匙管理互操作協(xié)議（KMIP）是一種新興的標準互操作私密金匙管理。在IEEE1619.3標準涵蓋了儲存加密和私密金匙管理，特別是當它們涉及到儲存的

40、IaaS。 金匙管理69維運 (Operation) 6.身份與存取管理 (Identity and Access Management) 至今身份管理與存取控制仍然是企業(yè)應用面臨的最大挑戰(zhàn)。 基於雲(yún)端的身份和存取控制管理（IAM） 身份供應/取消供應認證聯(lián)合制度授權管理和客戶配置文件 cloud-based Identity and Access Management (IAM)70維運 (Operation) 6.身份與存取管理 (Identity and Access Management) 身份供應：其中一個主要挑戰(zhàn)，是組織所採用雲(yún)端計算服務是安全的，更能即時管理登機（供應）和非寄宿制

41、（取消供應）的雲(yún)端客戶。此外，投資的企業(yè)，對客戶的管理流程在企業(yè)內(nèi)部將尋求擴大這些流程以實現(xiàn)雲(yún)端服務。 基於雲(yún)端的身份和存取控制管理（IAM） 71維運 (Operation) 6.身份與存取管理 (Identity and Access Management) 驗證：當組織開始利用雲(yún)端計算服務時，客戶在一個值得信賴的認證和管理的方式是一個重要條件。組織必須有能力處理認證相關的挑戰(zhàn)，如憑證管理，強大的身份驗證（通常定義為多因子認證），委託認證，信任和管理所有類型的雲(yún)端服務?；峨?yún)端的身份和存取控制管理（IAM） 72維運 (Operation) 6.身份與存取管理 (Identity and

42、Access Management) 聯(lián)合：在雲(yún)端計算環(huán)境中，聯(lián)合身份管理扮演著重要的作用，使企業(yè)以雲(yún)端服務的組織所選擇的身份雲(yún)端供應者（IDP）來驗證他們的客戶。在這種情況下，交換身份屬性之間的服務供應商（SP）和 IdP 的安全的方式也是一個重要的要求。 基於雲(yún)端的身份和存取控制管理（IAM） 73維運 (Operation) 6.身份與存取管理 (Identity and Access Management) 授權與客戶檔案管理：要求為客戶配置文件和存取控制策略取決於客戶是否以自己的名義行事（如消費者）或作為一個組織的成員（如雇主，大學，醫(yī)院，或其他企業(yè)）。存取控制的要求，包括建立信任的

43、環(huán)境中的SPI客戶配置文件和政策資訊，用它來控制訪問內(nèi)部的雲(yún)端服務，並以一個可審核的方式來進行。 基於雲(yún)端的身份和存取控制管理（IAM） 74維運 (Operation) 7.虛擬化 (Virtualization)能夠提供多租戶雲(yún)端服務，基礎設施，平臺或軟體之能力，往往是建構於提供某種形式的虛擬化技術之能力來完成。 如果虛擬機（VM）技術被用在基礎設施雲(yún)端服務，那麼我們必須注意條塊分割和硬化的VM系統(tǒng)。管理虛擬操作系統(tǒng)的現(xiàn)行做法，”預設提供安全流程”是較為缺少的。 75以虛擬化為基礎的雲(yún)端環(huán)境繼承所有以往所面臨的資安問題個人端：惡意程式、垃圾郵件、不當廣告、網(wǎng)路釣魚主機端：惡意程式、殭屍電腦

44、、阻斷式攻擊、社交攻擊、中間人攻擊、SSL漏洞與實作缺失雲(yún)端新興安全問題76因此，雲(yún)端環(huán)境的安全威脅程度更大。如何強化原來的安全措施在雲(yún)端環(huán)境中更顯重要散戶型駭客可以很方便地租用相同的運算環(huán)境來測試並挖掘其弱點組織型駭客可以自建雲(yún)端或利用雲(yún)端從事BotNet攻擊與密碼破解虛擬環(huán)境上虛擬平臺弱點共享資源風險虛擬機器移轉(zhuǎn)與備份管理跨虛擬主機攻擊(Inter-VM)雲(yún)端新興安全問題77雲(yún)端新興安全問題取得封包資料20/40分鐘完成US $ 35/17取得ZIP檔案依字元集與長度US $ 34102上傳到 WPA CRACKER我們所擔心的密碼破解雲(yún)端服務已經(jīng)誕生400個節(jié)點的雲(yún)2億8千4百萬字典常見

45、密碼長度與字元集均有風險解決方法：1.密碼選用安全守則 (避免用英文單字等)2.基於實體Token的登入EC2 密碼暴力破解成本：單位(小寫字母密碼長度,USD)(10,2300)(11,6萬)(12,150萬)參考資料：1.WPA Cracker2.Cracking Passwords in the Cloud: Insights on Password Policies78CSA (Cloud Security Alliance) 在 (2010 年 3 月) 初發(fā)布了一份研究報告，標題是 “Top Threats to Cloud Computing V1.0”，列出了目前雲(yún)端運算所遭遇

46、的七大安全威脅 此一威脅主要是針對雲(yún)端運算服務的供應者而言。雲(yún)端運算服務供應商 (尤其是 IaaS 與 PaaS 供應商) 為了降低使用的門檻，通常並不會要求使用者必須經(jīng)過嚴格的資料審查過程就可以直接使用其所其提供的資源，有些服務供應商甚至提供免費使用的功能或試用期。這些做法雖然可以有效推廣雲(yún)端運算的業(yè)務，卻也容易成為有心分子利用的管道。事實上，已經(jīng)有包含殭屍網(wǎng)路、木馬程式下載在內(nèi)的惡意程式運行於雲(yún)端運算的系統(tǒng)內(nèi)。 1.濫用或利用雲(yún)端運算進行非法的行為 (Abuse and Nefarious Use of Cloud Computing) 雲(yún)端運算的七大安全威脅 79IaaS的產(chǎn)品已經(jīng)舉辦了

47、宙斯的殭屍網(wǎng)路，InfoStealer木馬，和下載的Microsoft Office和Adobe PDF漏洞。此外，殭屍網(wǎng)路已經(jīng)使用的IaaS服務器的命令和控制功能。垃圾郵件仍然是一個問題 -作為防禦措施，整個街區(qū)的IaaS的網(wǎng)路地址已公開黑名單。1.濫用或利用雲(yún)端運算進行非法的行為 (Abuse and Nefarious Use of Cloud Computing) 範例雲(yún)端運算的七大安全威脅 80整治初始登記，並嚴格驗證過程。增強信用卡欺詐監(jiān)控和協(xié)調(diào)。全面反思的客戶網(wǎng)路流量。在自己的網(wǎng)路區(qū)塊監(jiān)控公共黑名單。 1.濫用或利用雲(yún)端運算進行非法的行為 (Abuse and Nefarious

48、 Use of Cloud Computing) 雲(yún)端運算的七大安全威脅 81使用者透過使用者介面或是 APIs 與雲(yún)端運算服務進行互動，因此這些介面與 APIs 是否安全直接影響到雲(yún)端運算服務本身的安全性。像是使用者介面的驗證與授權功能是否安全，APIs 的相依性與安全性，都是必須特別注意的地方。此外，如果有使用第三方的加值服務，這些服務的介面與 APIs 的安全性也必須一併加以考量。 2.不安全的介面與 APIs (Insecure Interface and APIs) 雲(yún)端運算的七大安全威脅 82Anonymous access and/or reusable tokens or pa

49、sswords, clear-text authentication or transmission of content, inflexible access controls or improper authorizations, limited monitoring and logging capabilities,unknown service or API dependencies.2.不安全的介面與 APIs (Insecure Interface and APIs) 雲(yún)端運算的七大安全威脅 範例83 1.分析雲(yún)端供應商的介面之安全性模型。2.實施協(xié)力加密傳輸以確保強認證和存取控制

50、。3.了解相關的API依賴鏈。2.不安全的介面與 APIs (Insecure Interface and APIs) 雲(yún)端運算的七大安全威脅 整治843.惡意的內(nèi)部人員 (Malicious Insiders) 內(nèi)部人員所造成的問題，這幾年來已經(jīng)成為許多組織關注的重點，採用雲(yún)端運算將會讓內(nèi)部人員所產(chǎn)生的問題更形嚴重。一個最主要的因素在於使用者無法得知雲(yún)端運算服務供應商如何規(guī)範與管理內(nèi)部員工，甚至連招聘的條件與流程也屬於非公開的資訊。以安全的角度來說，”未知”絕對不是一種幸福，而是一種芒刺在背的威脅。更何況以雲(yún)端運算的業(yè)務性質(zhì)而言，絕對是有心分子眼中的肥魚，所以內(nèi)部惡意員工的比例應當會比一般組

51、織來的更高。 雲(yún)端運算的七大安全威脅 853.惡意的內(nèi)部人員 (Malicious Insiders) 無雲(yún)端運算的七大安全威脅 範例863.惡意的內(nèi)部人員 (Malicious Insiders) 1.嚴格執(zhí)行的供應鏈管理和進行全面評估。2.指定的人力資源需求如同一部分法律合同。3.整體的資訊安全和管理方法，以及法規(guī)遵從，報告需要透明化。4.確定安全的違規(guī)通知流程。雲(yún)端運算的七大安全威脅 整治874.共享環(huán)境所造成的議題 (Shared Technology Issues) 雖然使用雲(yún)端運算的服務 (尤其是 IaaS) 時使用者好像擁有獨立的環(huán)境，但是這些環(huán)境都是從共享的實體環(huán)境中透過虛擬化

52、的技術所產(chǎn)生出來的。這些虛擬化的平臺能否將不同的使用者進行有效地隔離，以避免彼此之間相互干擾其服務的正常運算，甚至是避免彼此之間可以存取對方的資源，對雲(yún)端運算的安全來說是一個嚴格的挑戰(zhàn)。 雲(yún)端運算的七大安全威脅 884.共享環(huán)境所造成的議題 (Shared Technology Issues) Joanna Rutkowskas Red and Blue Pill exploitsKortchinksys CloudBurst presentations雲(yún)端運算的七大安全威脅 範例894.共享環(huán)境所造成的議題 (Shared Technology Issues) 1.實施最佳安全的安裝/配置。

53、2.監(jiān)測環(huán)境的改變。3.促進強有力的認證和存取控制管理和操作。4.強制服務等級協(xié)議的漏洞修補和修復。5.進行漏洞掃描和配置審核。 雲(yún)端運算的七大安全威脅 整治905.資料遺失或外洩 (Data Loss or Leakage) 資料遺失與外洩對於一個組織的影響不只在於實際上的金錢損失，更在於如企業(yè)形象之類的無形損失。雲(yún)端運算因為其特定的緣故，使得資料遺失或外洩的議題面臨更加嚴峻的考驗。包含是否擁有足夠的 AAA (驗證、授權、稽核)、是否採用適當且足夠的加密技術、資料持續(xù)性的需求、如何安全地刪除資料、災難復原、甚至是司法管轄的問題，都是必須認真加以考量的問題。 雲(yún)端運算的七大安全威脅 915.

54、資料遺失或外洩 (Data Loss or Leakage) 沒有足夠的驗證，授權和審計（AAA）的控制;使用加密和軟體金匙不一致;操作失誤;處理挑戰(zhàn);風險的關聯(lián);司法和政治問題;資料中心的可靠性;災難恢復。雲(yún)端運算的七大安全威脅 範例925.資料遺失或外洩 (Data Loss or Leakage) 1.實施強有力的API存取控制。2.在傳輸過程中，加密和保護資料完整性。3. 在設計和運作期間，分析資料保護程度。 4.實施強私密金匙產(chǎn)生，儲存和管理。5.合同制定指定供應商提供備份和保留策略。 雲(yún)端運算的七大安全威脅 整治936.帳號或服務被竊取 (Account or Service Hi

55、jacking) 儘管帳號或服務被竊取的問題由來已久，但是這類問題對於雲(yún)端運算來說更具威脅性。首先因為雲(yún)端運算不像傳統(tǒng)的 IT 架構般擁有實體的東西，因此一旦帳號或服務被竊取後，除非有其他的方式加以證明，否則惡意分子可以完全取代原先使用者的身分。在傳統(tǒng)的 IT 環(huán)境中，因為使用者至少還擁有硬體的控制權，所以即使發(fā)生帳號或服務的竊取行為，使用者還是可以進行一些事後的補救措施，但是這些補救措施在雲(yún)端運算的架構下可能無法執(zhí)行。此外，對於那些公開的雲(yún)端運算服務而言，直接暴露於網(wǎng)際網(wǎng)路上也讓這些竊取行為更加容易發(fā)生。 雲(yún)端運算的七大安全威脅 946.帳號或服務被竊取 (Account or Servic

56、e Hijacking) 無雲(yún)端運算的七大安全威脅 範例956.帳號或服務被竊取 (Account or Service Hijacking) 1.客戶和服務之間禁止共享帳戶憑據(jù)。2.在可能的情況下，利用強大的雙因素認證技術。3.採用主動監(jiān)測，以發(fā)現(xiàn)未經(jīng)授權的活動。4.了解雲(yún)端服務供應商的安全政策和SLA。 雲(yún)端運算的七大安全威脅 整治967.未知的風險模型 (Unknown Risk Profile) 如我在前面所述，以安全的角度來說，”未知”絕對不是一種幸福，而是一種芒刺在背的威脅。以雲(yún)端運算來說，不管是 IaaS、PaaS、SaaS 都是將服務包裝成一個使用者不需了解也無法了解的系統(tǒng)，讓使用者專注於如何”使用”該系統(tǒng)。但是這樣的方便性，也讓使用者無法了解這些服務所使用的網(wǎng)路架構、安全架構、軟體版本等等各式各樣的重要資訊。這些資訊對於評估安全狀態(tài)是很有幫助的，欠缺這些資訊將使得這樣的評估行為無法被有效地進行。雲(yún)端運算的七大安全威脅 977.未知的風險模型 (Unknown Risk Profile) IRS asked Amazon EC2 to perform a C&A; Amazon refused.htmlHeartland Data Bre