使用雲端服務已經是多數企業的必要選擇與安全趨勢,在不同層級的雲端服務中,最頻繁使用的莫過於應用程式即服務(簡稱SaaS)。我們認識的每一位商業夥伴,都會有自己的電子郵件信箱,同時使用通訊軟體與他人進行聯繫。當我們使用個人Gmail或是公司提供的Google Workspace服務,或是使用LINE通訊軟體,這些功能其實都屬於雲端服務的範圍。
使用雲端服務做為儲存、處理和傳輸資料的媒介,必須正視到資訊安全議題。雲端服務是一種存在我們週遭不可或缺的資訊服務管道,從通訊到資料查詢,再至AI的生成式應用,當使用者輸入資訊傳送出去,收到訊息或信件,這樣過程其實在使用雲端服務。因此,從使用服務的過程來說,就有資料傳遞、資料儲存的議題。
從ISO 27001的視角來看,我們一開始選擇雲端服務,就是一種風險評估。我們都知道全球有幾個知名的雲端服務商,像是Amazon AWS、Microsoft Azure、Google Cloud等,雖然這些「公有雲」服務商提供服務的過程都有基本的安全保證,也保證雲端服務的便利與穩定性,但在使用雲端服務過程中有客戶應盡的部份責任。我們藉由Microsoft描繪的「共同責任模型」(圖一),就可以清楚的看出「消費者(customer)」也就是客戶應該要有的責任,並非是Microsoft完全承攬。例如使用SaaS服務時,資料、裝置(手機或個人電腦)及帳號的使用管理,就屬於消費者責任範圍,也就是說這些風險又再回歸到消費者身上。
雲端共通責任模型 (圖片來源:https://learn.microsoft.com/zh-tw/azure/security/fundamentals/shared-responsibility)
以ISO 27001使用雲端服務的措施來說,從「獲取」階段、到「使用」階段,進而「管理」,最終「退出」,都需要評估其相關的風險。在「獲取」階段,原則上要評估服務的使用目的與方式,有沒有可能用來儲存或傳遞一些敏感資料,或是規劃使用者帳號與授權方式,組織才得以進到使用雲端服務階段。在「使用」階段,涉及了資料存取的過程,參考了「共同責任模型」來看,是否都依照組織的管理政策使用指定使用者的裝置、設定服務與資料存取權限,有了更完善的資料存取及保護方式,完善功能與安全上的「管理」。在往後的使用雲端生命週期階段,一定會遇到「退出」的狀況,適當考量資料的屆期刪除,甚至是轉移到新的環境做保存,這才是更完整的使用雲端服務安全策略。
雲端功能需求與提供服務越來越多元,顯得使用情境日益複雜,更何況組織中資料的種類、數量、品質、價值……各種評估標準都依照各種不同業務狀況而定,風險等級因此隨之變化,假設敏感資料存在於雲端的環境中,組織就必須要經常審查使用雲端服務政策,才能確保組織資料安全。身為資安公司的顧問,協助客戶評估雲端服務使用情境與風險,將成為一件刻不容緩的事情。因此,我們期待能夠藉由ISO27001的瞭解與風險評估,協助到更多組織規劃及運用良好的使用雲端資安政策。
作者:潘柏廷 Conrad Pan
現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長領域為資安、個資、人工智慧
