雲端安全的信任基礎

雲端運算真能信任嗎？在考慮採用雲端雲算前，你或許得像剥洋蔥般，一層層的拆解後，才能發現問題的核心來自─the root of trust。

使用公雲服務的風險相較傳統IT架構環境來說，除了相同來自網路的威脅外，還得面臨來自其他同一雲端租戶，與甚至是服務供應商裡員工的內部威脅，因此企業在考慮雲端運算的安全時最終還是回到根本的信任問題。

這種企業用戶與供應商間的安全信任，來自於一種環環相扣的信任關係。就好比你相信門的安全防護是來自於你信任門鎖；而對門鎖的信任是來自於開門的鑰匙；而這把鑰匙則是放在你自己的口袋中。但從另一個角度來看，一旦你遺失了鑰匙這個根本信任(the root of trust)基礎的話，所有信任關係將完全崩解不再。

雲端環境也是如此，許多的雲端服務供應商會採用SSL加密來確保資料在網路傳輸時的安全，可是當此SSL的憑證金鑰存放在服務供應商時，我們又如何確保供應商能妥善保管此金鑰？且不會被其內部員工所盜用？這種情況下，儘管雲端服務供應號稱對企業客戶的機密資料進行了身分控管、資料加密等重重的安全防護，但只要供應商無法提供一個令使用者能夠相信的信任基礎的話，這些層層相扣的安全機制依然無法令企業百分之百的信任供應商所提供的安全防護。

那…，到底這個the root of trust的信任基礎要從何而來？按目前看來，不外乎是服務供應商所能提供的一些像是ISO等國際相關的標準驗證，還有就是用戶與廠商間所簽定的SLA(service level agreement，服務等級協定)，但SLA往往是供應商對其雲端服務所能提供的”服務品質”裡最弱的一環。在被問及SLA相關的內容時，通常只能口號式的強調會提供用戶良好的保護，卻鮮能提供具體的服務內容。當然，企業在此之前，也需要先確實的了解企業自身雲端應用的需求，才不會為廠商所主導而簽下一紙當事件發生時卻無法提供保障的合約。

    ．【資訊安全】 疫情引爆資安 趨勢科技籲警覺
．【資訊安全】 遠端辦公成為資安高風險群
．【資訊安全】 BEC詐騙 台灣受害北亞區居冠
．【資訊安全】 思科助攻 打造遠距體驗
．【資訊安全】 微軟攜手法務部 遏止殭屍網路
．【資訊安全】 防疫當頭 Check Point提供安全技巧
．【資訊安全】 F5亞太報告 關切網路安全
．【資訊安全】 微軟五資安要點　助企業提前部署
．【資訊安全】 區塊科技 推BEC方案
．【資訊安全】 AEGIS CUSTODY攜手中國信託 推帳款資