趨勢科技在 2013 年預測當中預測了網路犯罪者將會濫用合法的雲端服務來從事非法活動。很不幸的,這件事已經成真,而且就今日的局勢來看,情況不太可能好轉。
例如,我們看到一波垃圾郵件(SPAM)行動將 Dropbox 當成惡意程式的集散地。這並非合法雲端服務遭到惡意濫用的唯一個案,只是最近較引人注意的案例而已。
此問題並不僅限於單一熱門服務而已,其他諸如 Evernote 與 Sendspace 等網站也都曾經遭人濫用。我們不禁要問,這些服務是否能夠防止同樣的事件再度發生。不過,我們也聽到了另一種要求的聲音:隱私權。
今日的人比以往更在意自己的資料是否被政府看到,或者被服務供應商用於牟利。因此,人們會要求更多的隱私權。例如,對於雲端儲存服務廠商,人們可能會要求廠商不能知道他們在伺服器上存放了什麼檔案。對廠商來說,客戶的資料將只是一堆無法解開的機器碼,毫無意義。
但資料隱私與資料安全基本上存在著一些衝突。舉例來說,儲存服務廠商希望能防止其服務遭歹徒用於散布惡意程式,所以就採用了一些強大的軟體解決方案,如:檔案掃瞄、沙盒 (Sandbox) 模擬測試等等,來檢查所有上傳的檔案。先不論成本和伺服器規格必須因而提高,這樣的作法「還」可能被許多使用者視為一種監視行為。(在今日的氛圍下,這樣的指控很容易就能摧毀一家公司。)
另一種相反的情況是:廠商提供完全私密的儲存空間,「所有的」加密都在使用者裝置上執行,廠商對其網站上所儲存的內容全然不知。這樣服務肯定會被歹徒所利用,雖然雲端廠商必須滿足合法客戶對於安全與隱私權的要求,但卻會造就一套無法偵查使用者非法行為的系統。
當然,前述兩者都是極端的情況,不過卻也點出所有雲端供應商皆必須面臨的決擇。廠商必須找到一個符合其策略和商業模式的平衡點。然而,這就意謂其服務不可避免地會遭到某種程度的濫用,而且很可能被視為做生意的必然代價。
那麼,這給使用者什麼樣的啟示?如同前面所言,某種程度的濫用是難免的。而且這跟您所選擇的廠商無關,其他使用者或網路犯罪者可能看上任何廠商。某些作者會暗指,隨著運算逐漸邁向雲端,使用者可以將部分資訊安全責任推卸給他人 (例如雲端服務)。
這樣的看法真是再離譜不過。使用者依然需對自己的安全負起責任,並且使用一些適合自己、同時又能提供掌控能力的安全防護產品。顯然,這一點對於一個家庭和對於一家數千人的企業意義是不同的,不過原則依然不變:資訊安全的責任最終還是落在使用者身上,而非在雲端。
@原文出處: Privacy Versus Security: Can Cloud Providers Strike A Balance?