/ 發布日期：2017/02/15/ 瀏覽次數：66

在市場中，雲端運算技術被大肆渲染，並遭到誤解。關於「雲端運算實際上能為組織帶來什麼效益？」的說法莫衷一是，在各種雲端模型的安全與管控議題上，出自真實與想像的多方觀點夾雜在一起。實際上，大多數資訊安全長(Chief Information Security Officer, CISO)與安全團隊對雲端運算的關注焦點不脫以下三項：
1. 虛擬環境的安全，包括：私有雲(Private Cloud)與基礎設備即服務(Infrastructure as a Service, IaaS)。
2. 軟體即服務(Software as a Service, SaaS)的使用，以及此種模型內的資料。
3. 多租戶(multitenant)環境內的風險與法規遵循責任。
上述三項雲端安全防護領域各有各的挑戰，每項領域都由不同的企業人員負責管理。隨著雲端模型持續演進，企業部門必須掌握一系列的新處理程序和新產品。對負責IT安全與風險的決策者來說，關注雲端控制領域內持續演進的實踐方法，有助於找出在相互關聯的三個領域中落實安全防護的途徑。
Gartner的研究報告針對2017年以後的雲端安全防護領域提出四項預測，茲將重點摘譯如下。

一、 至2020年，雲端安全防護、法規遵循，以及風險控管時間與資源三個領域內70％的業務將為SaaS供應商和作業管理帶來困擾。
隨著SaaS的使用日益頻繁，組織經常向供應商反映SaaS是個難以管控的模式，缺乏控制權的代價可能非常高昂，依照雲端存取安全中介服務(Cloud Access Security Brokers, CASB)供應商的說法，有大量的敏感資料不當儲存於SaaS中。對SaaS管理權責的歸屬缺乏共識、對SaaS的「所有權」缺乏明確的規範方針，這些因素掩蓋了SaaS管控的問題。然而根據報導，客戶已經使用了超過1千個SaaS應用程式，安全與IT團隊的壓力越來越大，為了管理這些資源，他們需要的權限高於系統提供的有限管控機制。

二、 至2020年，在資安事件方面，公共雲端IaaS負擔的工作量將比傳統的資料中心低至少60％。
如果能夠適當地運用公共雲端IaaS供應商所提供的可編程式(programmatic)基礎設備，那麼取得的安全防護等級將高於傳統的資料中心。錯誤的設定、管理失當、疏於更新與其他錯誤通常是造成網路攻擊得逞的主因，所以運用自動化的機制防止與降低人為失誤，便能提升服務程序的安全性。藉由更動防護與管理程序，企業的資料中心也能應用更高級的自動化機制，儘管如此，大多數企業的資料中心卻沒有這項更動所需的軟體定義(software-defined)、可編程式基礎設備。

三、 至2018年，在適當地運用雲端可視性(Visibility)與管控工具的企業中，60％的企業將能避免三分之一的安全問題。
IaaS雲端供應商提供兩種重要的功能，為雲端管理帶來必要的管控與可視性。身分存取管理(Identity and Access Management, IAM)功能協助企業設計一套驗證(Authentication)與授權(Authorization)的方案，讓使用者能順利完成工作，並確保使用者只能取得必要的權限。
監測與日誌記錄的功能則有助於追蹤與雲端資源相關人事時地(who, what, when, where) 的細節，適用範圍涵蓋：用於安全監控的重要資料、績效追蹤、預算編列，以及審計查帳。

四、 在2017年，對安全功能的不滿將驅使一半以上的IaaS新客戶在12個月內添購第三方的安全產品。
IaaS安全防護是一個變化快速的領域，雖然IaaS供應商提供了安全防護功能，但通常不夠全面，或不容易與第三方解決方案整合。隨著IaaS的採用量提升，從多家供應商採購IaaS的企業也逐漸增加，不過由於供應商的原廠安全解決方案之間無法交替使用，因此將第三方安全解決方案整合至原廠控制機制的功能逐漸興起。