|
行政院於2010年提出第一波的雲端運算應用服務,共計15項雲端應用服務計畫,預備促成雲端資料中心系統與雲端運算服務以外銷國際,希望讓雲端運算解決方案服務產值跨越100億元美元門檻。今(2012)年7月負責國內雲端運算發展策略的政務委員張善政博士指出,行政院已召集各部會將第一波的「雲端運算產業發展方案」調整為第二波的「雲端運算應用與產業發展方案」,強調應用及產業發展並重的精神。因此雲端運算成為我國資通訊產業重要的趨勢與創新的應用,亦是新一代的網際網路與資料中心。2010年包括工研院、資策會、電機電子公會、資訊軟體協會、中華電信等單位,共同結合國內資通訊服務業超過50家業者,共同組成「臺灣雲端運算產業聯盟」,同時也宣告2010年為臺灣的雲端元年,將臺灣IT產業帶往新的里程碑。
雲端治理標準 逐步到位
雲端運算產業聯盟亦宣告雲端運算可以為企業帶來許多好處,包括:一、降低營運成本,企業不需花錢去購買軟體和硬體,也不需聘用資訊人員來開發或維運所需的應用服務,只需透過租賃或使用者付費方式,可以大幅節省不必要的成本支出;二、提高工作效率,隨著網路無所不在的方便性,無論工作者身在何處都可享有相同的應用服務,藉由雲端強大運算能力,可以有效解決工作端運算效能不足的問題;三、帶來更多商機,雲端運算可以讓企業快速部署及應用新科技,無論是應用服務的升級或擴展,企業在較短的時間內可以達成。雲端服務大致分為基礎設施即服務(IaaS)、平台即服務(PaaS)和軟體即服務(SaaS)三種服務方式與公有雲、私有雲及混合雲三種部署方式,國際機構如IBM、Oracle、CSA也相繼提出企業流程即服務(BPaas)與安全即服務(SECaaS)等新服務模式。
自2011年起國際標準制定機構,例如美國國家標準與技術研究所(National Institute of Science and Technology;NIST)發布其最終版本的雲端運算定義與技術規範,成為產官學研引用的標準。COSO國際組織發表白皮書,擴充其風險管理框架(Enterprise Risk Management;ERM),對於既有的標準架構與交易循環中提出雲端內部控制的指引。ISACA國際組織開發4個新的COBIT稽核程序提供最新指引。雲端安全聯盟(Cloud Security Association;CSA)國際組織發布其雲端運算資訊安全準則,代表全球雲端運算供應商和系統廠商的標準指南。
COSO八層安全架構
在COSO白皮書中,因雲端運算不同的技術特性,建議雲端運算安全部署著重八層安全架構,以提高安全防護的效益。這八層架構次依序為實體系統和環境、系統資源(例如:網路、伺服器、資料庫)、虛擬化資源(例如:虛擬網路、伺服器、資料庫)、作業支援服務(例如:基礎架構、映像檔、資源管理)、商業支援服務(例如:產品管理、客戶管理、訂單管理)、基礎設施即服務(例如:Iaas的虛擬化伺服器、資料庫、網路)、平台即服務(例如:Paas的中介軟體、應用程式伺服器、資料庫伺服器、入口網站伺服器)、軟體即服務(例如:SaaS的隨需使用、服務導向的應用程式)。每個層次都有不同的安全需求,計畫與管理上必須滿足不同資訊安全政策的要求,並且不相互違反或矛盾。
COBIT風險稽核項目
反觀COBIT的新稽核項目,將雲端運算風險分為六大類以及124種風險項目,包括:一、技術風險,有關雲端基礎建設的技術風險議題;二、安全風險,有關雲端基礎建設安全的風險議題;三、法律風險,有關法律確保合規的風險議題;四、委外風險,有關系統委外的風險議題;五、共用風險,有關雲端基礎建設共用的風險議題;六、虛擬風險,有關雲端運算虛擬化與集中化的風險議題。由於雲端服務與雲端運算的複雜性與創新性,雲端運算面臨的挑戰與衝擊更勝於一般傳統資訊安全:
1.安全性與隱私性:資料放在遠端雲端資料中心的安全性是否容易外洩?與其他企業共用相同伺服器是否妥當?
2.可用性與服務效率:雲端服務供應商能否確保服務的傳輸、執行的效率、設備的可用性?目前雲端服務均有當機而導致服務中斷的事件。
3.標準性與轉移性:企業將既有的軟體、服務轉移至雲端環境,留在企業的軟體如何與雲端服務整合?雲端服務供應商之間能否協同?未來企業是否能夠輕易轉移到其他供應商?
|
