雲端運算的風險評估 Part 1
雲端運算的特點
NIST描述的五種基本特性:
- On-demand self-service
- Broad network access
- Resource pooling
- Rapid elasticity
- Measured service
三種雲端服務模型:
- IaaS
- PaaS
- SaaS
四種佈署模型:
- Public Cloud(包含Multi-Cloud)
- Private Cloud
- Community Cloud
- Hybrid Cloud
而安全與資料隱私性問題通常是企業考慮上雲的最大疑慮。這一類的風險,企業需要與CSP訂立SLA來減輕此類風險。而CSP本身的信譽也是種重要的考量因素之一,因為信任合作廠商是企業業務能順利進行的要素之一。CSP有一堆的資安認證也是企業的參考指標之一。夠不夠大間?財務狀況如何?都是在選擇CSP時需要考量的因素。
雲端運作的資安風險與威脅
雲端運算雖然有很多效益。但是,企業將IT環境從地端機房移動到雲端的這個動作也相對的產生了風險。企業在評估雲端運算之前必須認知到移動到雲端的風險與威脅。並且每一種的佈署與服務模式會對企業帶來甚麼樣的風險與威脅,並且降低風險道可接受的程度。
可見性是重要的因素
移動到雲端意味著企業將資產託管給雲端業者。然而企業在支持運作這些資訊資產的人員、流程與技術卻僅有很少的知識與可見性。從IaaS/Pass到SaaS,每一種的服務模型的可見性對客戶來說是越來越少。客戶不知道這些技術疊加之後,同時也會累積多少的風險在裡面。
常見的錯誤是假設 SaaS 不會受到與基礎設施相關的風險的影響; 然而,風險和威脅仍然存在。 它們位於不太明顯的層次,因為它不再屬於企業的運營責任,而是屬於 CSP 的運營責任。
數位資產與風險
企業要使用雲端運算第一個常問的問題是: 哪種數位(資訊)資產可以搬到雲端?
數位資產大致可分為資料、應用程式和流程。這些資產通常會遭受以下風險事件的影響:
- 不可用 — 會有各種事件與因素影響數位資產的可用性
- 遺失 — 會有各種事件與因素影響讓資產不見
- 被竊取 — 竊取是一種故意行為,可能會導致資料遺失
- 被洩漏 — 可能是偶然的,也可能是有意的。 這還包括由於跨國界的不同法規而導致的不受歡迎但合法的資料存取
雖然對企業來說,最重要的數位資產可能是"資料"。但是我們也不應該忽略應用程式或流程的相關風險,因為它也會讓企業的業務停擺。
成本考量
在評估雲端對企業資產的風險相關影響時,成本效益財務分析是需要考慮的另一個因素。嚴格來說,成本通常不會是數位資產的因素之一。但它通常會觸發我們上述提到資產會遇到的風險事件。
例如成本的考量造成企業無法讓數位資產具有高可用性。哪麼企業的維運就會受成本因素考量,而讓數位資產遭受不可用風險的影響。故,在本文中,成本因素會納入我們的風險事件之一。
隱私性的考量
企業在考慮搬到到雲端時,資料隱私是最常見的問題之一。 在大多數情況下,當數位資產由個人或極其敏感的資料組成時,就會出現這種問題。 然而,除了數位資產的內容之外,還需要考慮另一個組成部分:數位資產內的資料隱私與資訊資產外的資料隱私之間的差異。
例如,企業將客戶資料庫遷移到雲端,企業會對這些客戶發送電子郵件以宣傳新產品。 資料庫和電子郵件內容都被視為敏感資訊資產,必須保密,並有適當的措施(加密、電子簽章、資料存取管理等)來保護它們。 然而,CSP(或入侵者)可以使用網路日誌來追踪電子郵件的目的地,因此可以重建資料庫,從而損害資產隱私。
在第一種情況(資訊資產內的((資料庫))資料隱私)中,主要關注的是確保資訊資產不被洩露。 此類資產應在遷移之前通過適當的資料分類進行識別,然後加以保護。
第二種情況(資訊資產之外(Email)的資料隱私)更為複雜,因為它涉及不屬於企業資訊資產的資料的收集、保留和處理。 服務提供商通常出於良性目的(例如故障排除和事件分析)或出於法律原因(例如資料保留政策)收集此類資料,因此很難防止洩露或盜竊。 很多時候這是不可避免的; 然而,這個具體問題並不是 CSP 所特有的,因為它可以適用於不完全由企業控制的任何基礎設施。 因此,本文不對其進行詳細討論。
遷移到雲端的風險評估
企業通常會有CISO 或資安經理負責了解影響企業資產的現行風險,並了解遷移到雲端將如何影響這些資產以及現行的風險等級。
遷移到雲端的影響取決於要用哪一種雲端服務模型和部署模型。 服務模型和部署模型的組合可以幫助確定企業資產的適當平衡(例如,選擇私有雲端部署模型可以幫助中和與多租戶相關的風險)。我們先前提到了影響數位資產的可能風險。 以下按服務模式討論風險降低和增加因素。 然後,這些風險因素將與實際威脅和緩解措施關聯起來。
按服務模式劃分的風險因素
IaaS
對企業風險減緩的因素
- Scalability and elasticity。
風險影響:不可用性 - DRP and backup
風險影響:不可用性與遺失 - Patch management
風險影響:不可用性,遺失,竊取、洩漏
對企業風險增加的因素
- 合法跨境要求 —
由於CSP的雲端機房橫跨全球,資料在不同的國境內流動可能會有一些法律上的問題。
風險影響: 洩漏 - 多租戶與隔離失敗的問題
風險影響: 竊取、洩漏 - 缺乏對現有技術安全措施的可見性 —
為了確保不存在安全漏洞,CSP 的安全策略和治理應與企業的安全策略和治理相匹配。
風險影響:不可用性,遺失,竊取、洩漏 - 缺乏DRP與Backup
有些CSP提供的DRP與Backup可能無法企業的業務需求使用。
風險影響:不可用性,遺失 - 機房的實體安全
風險影響: 竊取、洩漏 - 資料處裡 —
存在於CSP基礎設施底層的資料應該怎麼處理。這通常無法由企業來決定。一切視乎CSP的資安處理程序。
風險影響: 洩漏 - 離岸外包的基礎設施 —
關鍵基礎設施的外包擴大了攻擊面。 實際上,這意味著雲端中的資訊資產需要重新整合回企業範圍內的其他基於非雲端的資產。 這些通訊可能不安全,從而暴露雲端和內部基礎設施。
風險影響:不可用性,遺失,竊取、洩漏 - VM的安全維護 —
IaaS的VM使用的安全維護通常需要企業自行管理。機器一多技術人員就可能容易漏看,尤其是停機沒在用的VM。如何進行這一類的自動化管理非常重要。
風險影響:不可用性,遺失,竊取、洩漏
PaaS
Paas繼承了與IaaS相同的風險。但卻多出了下列的新風險。
對企業風險減緩的因素:
- 縮短開發時程
風險影響:不可用性,遺失
對企業風險增加的因素:
- Application mapping —
如果現行的應用程式與 CSP 提供的功能不完全一致,則可能會導入其他不需要的功能(和漏洞)。
風險影響: 竊取、洩漏 - SOA(service oriented architecture)相關的弱點 —
SOA 的安全性產生了新的挑戰,因為漏洞不僅來自各個元件,而且還來自它們的相互交互。 由於SOA library由CSP負責,並且對企業不完全可見,因此可能存在未被注意到的應用程式漏洞。
風險影響:不可用性,遺失,竊取、洩漏 - 應用程式的處理 —
在 PaaS 環境中開發應用程式時,原始檔案和備份應始終可用。 如果合約終止,應用程式的詳細資訊可能會被披露並用於對應用程式發起更具選擇性的攻擊。
風險影響: 竊取、洩漏
SaaS
SaaS繼承了來自IaaS/PaaS的風險,並新增了以下的風險清單。
對企業風險減緩的因素:
- 強化的安全
風險影響:不可用性,遺失 - 應用程式的patch管理
風險影響:不可用性,遺失
對企業風險增加的因素:
- 資料所有權 —
如果資料所有權沒有明確定義,CSP可以在需要時拒存取資料,甚至在服務合約終止後要求付費以歸還資料。
風險影響:不可用性,遺失,洩漏 - 資料處理 —
如果合約終止,必須使用必要的工具立即刪除留存在CSP的資料,以避免洩露和違反保密規定(敏感資料可能需要進行取證清理)。
風險影響: 竊取、洩漏 - 缺乏SDLC(software systems development life cycle)的可見性
風險影響:不可用性,遺失,竊取、洩漏 - IAM(Identity and access management) —
如果CSP沒有控制好多租戶的問題,哪麼租戶之間可能會互相看到資料。
風險影響:遺失,竊取、洩漏 - 退出策略
風險影響:不可用性,遺失 - 應用程式的大量暴露 —
在雲端環境中,CSP 提供的應用程式具有廣泛的暴露範圍,從而增加了攻擊空間。 此外,這些應用程式仍然需要整合回企業範圍內的其他非雲端應用程式,這是很常見的。 標準防火牆和存取控制有時不足以保護應用程式及其外部交互。 可能需要額外的安全措施(如SASE)。
風險影響:不可用性,遺失,洩漏 - 與SaaS簽約的易用性 —
企業可能會在沒有適當採購和審核監督的情況下使用雲端服務,從而繞過內部企業政策的合規性。也容易產生影子IT。
風險影響:不可用性,遺失,竊取、洩漏 - 瀏覽器的弱點 —
在Client端的瀏覽器安全管理是資安人員經常疏忽的。
風險影響: 竊取、洩漏
按佈署模式劃分的風險因素
雲端部署模型不具有與雲端服務模型相同的抽象概念。 也就是說,風險不是累積的,而是針對每個模型的。 然而,不同實體(CSP、客戶、CSP 的第三方服務提供商等)之間的“信任”是一個重要因素 — — 不僅僅是CSP 和客戶之間的信任,還包括對共享託管運算資源的其他租戶的足夠信任。企業的資訊資產。 如果用戶濫用公有雲的基礎設施和服務,整個基礎設施可能面臨故障、被盜或被扣押(用於取證)的風險,包括其他企業使用的服務。 作為決策過程的一部分,仔細考量哪些資產可以安全地託管在公有雲中,哪些不能託管,這一點很重要。
公有雲
對企業風險減緩的因素:
- 大眾聲譽 — — 公有雲服務提供商意識到他們通常被認為更具“風險”。 對於他們來說,確保作為安全提供商的良好聲譽至關重要,否則客戶就會跑掉。
風險影響:不可用性,遺失,竊取、洩漏
對企業風險增加的因素:
- 雲端資源全面共享(一般狀況)
風險影響:不可用性,遺失,竊取、洩漏 - 附帶損害 —
別的租戶被攻擊,企業也可能遭受攻擊,例如DDoS。
風險影響:不可用性,遺失,竊取、洩漏
私有雲
對企業風險減緩的因素:
- 可以建立自家機房(控制能力增加)
風險影響:不可用性,遺失,竊取、洩漏
對企業風險增加的因素:
- 應用程式的相容性 —
舊的應用程式轉移到私有雲可能有相容性的問題,尤其越大型的應用程式遷移到雲端越困難。
風險影響:不可用性,遺失 - 需要額外的投資 —
尤其搞私有雲
風險影響: 成本 - 現有的IT技能不足
風險影響: 成本
社群雲
對企業風險減緩的因素:
- 同樣產業的企業實體
- 針對社群的專用資源
對企業風險增加的因素:
- 雲端資源全面共享
混何雲
由於混合雲是其他三種模型的混合,因此它們的風險增加或風險減少因素與這些模型相同。 然而,有一個主要與該模型相關的風險增加因素:
- 雲端的獨立性 —
如果企業混合使用兩種或多種不同類型的雲端服務,則需要嚴格的身份控制和強大的憑證系統以允許一個雲端服務存取另一個雲端服務。 這類似於一個常見的網路基礎設施問題:如何允許從低級別安全區域存取高級別安全區域?
在考量我們上述這些實施策略、服務模式和相關風險時,我們可以注意到,大多數風險增加因素影響的是”竊取和洩露”,而大多數風險降低因素影響的”不可用和遺失”。 這其實是一種權衡。
