保護您邁向雲端之路的 10 個步驟

發表者：Jonathan Gershater

消費者對於使用公共雲端的應用程式以及將資料儲存在公共雲端存有疑慮是可以理解的，例如：「我的資料安全嗎？」、「誰可以存取我的資料？」、「萬一雲端廠商發生資料外洩怎麼辦？」、「如果我的資料遭到外洩，誰該負責？」等等，都是消費者在邁向雲端時經常考慮的問題。

儘管採用雲端運算即意謂著失去主控權，但消費者在使用這些服務時仍需承擔一些責任。

有鑑於此，雲端標準消費者委員會 (Cloud Standards Customer Council) 發表了「雲端運算安全：確保成功的 10 個步驟」(Security for Cloud Computing: 10 Steps to Ensure Success) 白皮書，內容詳列了一份清單以及一些指導原則和策略，專門為協助公共雲端的消費者評估並比較不同雲端廠商關鍵領域安全措施而撰寫。

1.實施監督、風險與遵規流程。儘管雲端運算環境的安全控管與傳統 IT 環境類似，但您必須了解自己可承受多大的風險，專心防止您企業無法輕忽的風險。

2.營運和業務流程都需要稽核。稽核作業應交由具備適當技能的人員擔任，並且搭配您所建立的控管機制來達成安全要求。

3.掌握使用者的權限。企業需管理數十至數千名不等的員工及雲端應用程式與服務使用者，每一個人都有不同的角色和權限。您必須妥善控管這些角色和權限。

4.保護資料和資訊。由於雲端運算有基礎架構分散和責任共同分擔的特性，因此資料安全顯得格外重要。

5.真正落實隱私權政策。您不僅要定訂政策來解決隱私權的疑慮，更要提高企業內部的資料保護意識，同時，也應確保您的雲端服務廠商確實遵守隱私權政策。

6.評估應用程式安全性。定義清楚的安全政策及流程，是確保應用程式能為企業帶來動力而非額外風險的關鍵。

7.確保網路連線安全。您應要求雲端服務廠商做好一定的外部網路周邊安全措施。

8.評估實體安全。任何 IT 系統的重要考量因素之一就是實體基礎架構與場地設施的實體安全性，即便是雲端系統亦不例外。

9.再次確認雲端服務等級協議 (SLA) 當中的安全條款。由於雲端運算通常牽涉到二家公司：服務的消費者和供應者，因此雙方各自的資訊安全責任必須明確歸屬。

10.了解離場程序的安全要求。離場程序必須能讓您透過適當而安全的形式取回您的資料，包括明確的備份資料保存與刪除要求。

https://www1.gotomeeting.com/register/462783696