雲端安全的信任基礎

雲端運算真能信任嗎？在考慮採用雲端雲算前，你或許得像剥洋蔥般，一層層的拆解後，才能發現問題的核心來自─the root of trust。

使用公雲服務的風險相較傳統IT架構環境來說，除了相同來自網路的威脅外，還得面臨來自其他同一雲端租戶，與甚至是服務供應商裡員工的內部威脅，因此企業在考慮雲端運算的安全時最終還是回到根本的信任問題。

這種企業用戶與供應商間的安全信任，來自於一種環環相扣的信任關係。就好比你相信門的安全防護是來自於你信任門鎖；而對門鎖的信任是來自於開門的鑰匙；而這把鑰匙則是放在你自己的口袋中。但從另一個角度來看，一旦你遺失了鑰匙這個根本信任(the root of trust)基礎的話，所有信任關係將完全崩解不再。

雲端環境也是如此，許多的雲端服務供應商會採用SSL加密來確保資料在網路傳輸時的安全，可是當此SSL的憑證金鑰存放在服務供應商時，我們又如何確保供應商能妥善保管此金鑰？且不會被其內部員工所盜用？這種情況下，儘管雲端服務供應號稱對企業客戶的機密資料進行了身分控管、資料加密等重重的安全防護，但只要供應商無法提供一個令使用者能夠相信的信任基礎的話，這些層層相扣的安全機制依然無法令企業百分之百的信任供應商所提供的安全防護。

那…，到底這個the root of trust的信任基礎要從何而來？按目前看來，不外乎是服務供應商所能提供的一些像是ISO等國際相關的標準驗證，還有就是用戶與廠商間所簽定的SLA(service level agreement，服務等級協定)，但SLA往往是供應商對其雲端服務所能提供的”服務品質”裡最弱的一環。在被問及SLA相關的內容時，通常只能口號式的強調會提供用戶良好的保護，卻鮮能提供具體的服務內容。當然，企業在此之前，也需要先確實的了解企業自身雲端應用的需求，才不會為廠商所主導而簽下一紙當事件發生時卻無法提供保障的合約。

    ．【資訊安全】 全球聯迅通過ISO 27001驗證
．【資訊安全】 Websense宣布4月份將上市TRITON 7.6
．【資訊安全】 CITIC推出依容量彈性下單與GEOIP資安服務
．【資訊安全】 中華龍網將開發IPv4與IPv6並存規格的設計
．【資訊安全】 雲端安全配套不完善 恐形成網路泡沫現象
．【資訊安全】 趨勢科技SMB雲端防毒服務
．【資訊安全】 趨勢科技推PC-cillin 2011 期待40%成長率
．【資訊安全】 中華龍網本月引進DDoS RS系列
．【資訊安全】 中華電信與趨勢科技合作開發雲端安全解決方案
．【資訊安全】 雲端安全聯盟推出可信任雲端運算計畫