不可不知的雲端運算資安問題

作者/林信忠

前言 不可諱言,雲端服務(Cloud Service)無疑是近年資訊界來最熱門的話題之一,企業、組織與個人在享受雲端服務之前必須要了解它可能帶來的安全風險,就好像事情有正反兩面一樣。在台灣我們看到雲端服務推廣遭遇到一些問題,致許多企業或個人對雲端服務採取觀望或保守的態度,這些觀望或保守的原因多與雲端服務安全有關。本文嘗試從雲端定義、特性、佈署出發,從一般企業組織與使用者、雲端服務供應商這兩個角度探討雲端服務安全議題,最後並做出結論。 定義 嚴格來說,雲端分為雲與端點兩個部份,它造就了兩個新興產業,一是雲(資料中心)的產業供應鏈,二是端(行動裝置)的產業供應雲端的鏈;現在坊間雲端常代表雲的部分,本文也依循此法來表示,以雲端來代表雲。雲端概念就是「將電腦運算與資料儲存工作都放到網路上處理」。它具有電腦運算、資料儲存與網路這三個必須要件;嚴格來說,雲端其實並不是新的技術,反而是一種新的概念,這個概念還在持續演進當中。一般而言雲端是由眾多的運算(compute)、網路(network)、資訊(information)、儲存(storage)資源(resource)所組成。 雲端服務乃藉由雲端的特性來提供服務,這項服務的產生大大的顛覆了以往資訊服務的方法與觀念,它具有甚麼樣的特性、模式與佈署方式呢?可從圖一來做完整說明。 如上圖美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)所定義的雲端架構中,具五項必備特性,三種基本服務模式與四種佈署模式,分別說明如下: 一、必備特性
  • Broad Network Access(廣泛的網路接入) 指將資訊硬體和軟體等資源封裝成服務,使用者藉由各種連網設備透過高速網路來存取這些服務。
  • Rapid Elasticity(快速彈性) 指透過開放的技術和標準,把資訊硬體和軟體抽象成為動態可擴展、可配置動態資源;使用者可不受時間、地點的限制並可依經營環境變化或個人偏好改變而快速的擴大或降低佈署、增加或減少雲端服務資源的配置。
  • Measured Service(可量測的服務) 雲端服務涉及計價行為,因此必須能被量測甚至監控,好做為計價的基礎。雲端服務應如同家中使用的自來水或瓦斯度數一樣的被紀錄。
  • On-Demand Self-Service(隨需自助服務) 使用者多透過瀏覽器直接使用雲端服務,用多用少自己來決定,不需要服務供應商特別介入,也不需要了解這朵雲後端的資源如何的調配與運作。
  • Resource Pooling(共享資源池) 由於雲端服務供應商面對多個用戶,又面臨用戶動態資源擴展等需求,故需將大量實體或虛擬的資源(ex: storage, processing, memory, network bandwidth等)利用技術(ex:Hadoop等)將之整合與串連,這些被整合串連的資源視為一個抽象化的整體,從而打破地理區域的限制就好像一個池(Pool)般的提供共享與處理能力。
二、基本服務模式
  • Software as a Service(雲端軟體服務,SaaS) 意指軟體不需安裝在客戶端(Client Side)的電腦,而是放在雲端軟體服務供應商的資料中心。使用者透過網頁瀏覽器輸入驗證所需的帳號與密碼就可使用這些雲端軟體;每個雲端軟體背後都有龐大的運算與儲存資源在支持其運作,知名如Yahoo、Gmail、Facebook與新興的雲端防毒/駭等都屬雲端軟體服務的範疇。企業/個人購買套裝軟體的模式,將因此服務的產生而逐漸轉移,改依需求變化,動態地變更、租賃軟體服務的授權數量來計價。從成本面觀之,會將企業/個人採購軟體授權的固定成本,轉變成變動成本,在資金的調度上更有彈性。
  • Platform as a Service(雲端平台服務,PaaS) 此為使用者直接租用雲端平台服務供應商所提供的程式開發平台、作業系統、使用資料中心的各種伺服器資源,讓散佈在不同地點的開發人員能透過此雲端平台服務協同作業;如Google App Engine、Amzon的Elastic Compute Cloud(EC2)+Simple Storage Service(S3)、Microsoft的Azure都是典型的平台即服務,讓用戶可以在共通的平台上進行程式開發或軟體佈署。
  • Infrastructure as a Service(雲端基礎架構服務,IaaS) IaaS是雲端運作的重要基礎核心,上述SaaS等兩種雲端服務的底層就是雲端基礎架構服務。雲端基礎架構服務供應商提供儲存空間伺服器、運算伺服器、網路伺服器與連接點給需要使用該項服務的企業或個人。這些提供的伺服器通常會利用虛擬化(Virtualization)的技術將原來較少的實體設備轉變成較多的虛擬設備來提供服務,這種方式會獲得如成本節省、資源效能充分利用等好處,但虛擬化技術並非是IaaS絕對必要的條件,這是讀者必須注意到的一件事。大型雲端基礎架構服務供應商利用高速網路將數量極多且運算能力強的電腦資源組合成資料中心(Data Center)。為了保持高度彈性架構,常常把這些設備裝設在貨架上並一層一層的往上堆疊,就好像堆積木一樣,有的甚至是裝設在貨櫃上,由大型車輛載著到處跑來跑去(如圖二)。Amazon Web Service(AWS)服務是Iaas的佼佼者,國內如中華電信、遠傳電信等業者亦逐步跨入此領域。

《圖二》
資料來源: 楊文誌,CLOUD COMPUTING雲端運算技術指南,松崗出版社
上述三種基本服務模式會衍生出許多的變化,如Dropbox的雲端儲存(Storage as a Service)服務等,最終就變成XaaS(Everything as a Service)的服務模式,如圖三。

《圖三》
資料來源: http://tobala.net/x/Cloud2010/CloudTech-BCC-201003.html
【註】 X 代表空格, 可代入任何字
三、佈署模式
  • Public Cloud(公有雲端):公用雲端顧名思義就是公眾共用某個雲端服務廠商的資源池,較適用於資料機敏性低或資源不足的中小型企業/組織。
  • Private Cloud(私有雲端):私有雲端由企業自行建置共享資源池,若資料具機敏性高之特性且資源與技術能力較佳之企業/組織可採行此模式。
  • Community Cloud(社群雲端):社群雲端係指由數個組織共享資源池,較合適具共享資料研究需求的學術單位或社群來建置。
  • Hibrid Cloud(混合雲端):混合雲端泛指混合了上述兩種(含)以上的雲端佈署模式型態。
結語 藉由上述說明讀者應對雲端應有初步的了解,這些對於接下來的雲端資安議題理解也會有一定的幫助。本文分雲端服務安全分一般使用者與企業、服務供應商兩種角色來探討;這其實是筆者取巧的分類方式,其中所提及的觀念或技術可互相交叉應用,選取自己或組織合適的安全措施;就像企業也可架設私有雲,扮演服務提供者一樣。角色扮演的界限有時會很模糊,讀者對各種安全措施的配置不應有所拘泥。