目前位置: 新聞總覽 -> 技術開講 -> 雲端資料安全生命周期探討

2013年04月07日

雲端資料安全生命周期探討

文章出處:懇懋科技 技術部副總-Richard Chiang

目前已有各式雲端服務類型與各類布建方式，產生了各樣相互組合模式。無論是公有雲的IaaS服務或是混合雲的SaaS服務，其資料的安全保障都是雲端服務被廣泛使用的前提。同時因為雲端服務包含了彈性高、多租戶、新的實體與邏輯架構及抽象的控制，因此會有嶄新的資料安全方針因應。
如大家所了解的，資料安全生命周期基本上分為六個階段，如下圖所示：




各個階段並不一定是依序發生，有可能是兩個階段來回循環，也有可能没有走完這六個階段，例如有些機密機料可能永遠不會有銷毀那個步驟。當對資料安全生命周期各個階段全盤了解後，才能對症下虊，保障雲端資料的安全。

(1) 產生：
資料由此新創出來，同時也包含有日後的變動及更新。產生後，管理者應進行以下工作
 分類分級
— 那些資料是有價值的
— 那些資料是可以公開的
 分派不同群組不同使用者存取的權限
— 每個群組或個人應用的存取權限
— 每個地區或存取裝置應用的權限
(2) 儲存：
將產生的資料儲存至特定媒體上，常常與前一階段同時發生。此時應有以下的措施
 自動化機制作好存取權限控制監控
 必要性的資料加密措施
— 公司資料在雲端如何與其它公司徹底分離
— 公司資料在雲端不會與其它公司資料混雜
 權限管理機制
— 了解雲端服務既有的權限
— 了解企業組織所需的權限
 自動內容找尋及發現
— 特定資料如何快速被找尋
— 特定資料如何快速被擷取出來
(3) 使用：
資料被叫出檢視、及其它使用活動。此時管理者應準備好下列工作
 活動內容的稽核與監控
— 那些活動應該被記錄
— 產出的各式報表是否詳盡
 權限管理
 應用程式自身安全
— 確認資料之可用性
— 公司資料在雲端不會與其它公司資料混雜
(4) 分享：
資料可被其它人存取，分享至同事、客戶或夥伴之間，應注意下列工作
 資料防止外洩
 資料加密
 應用程式自身安全
(5) 歸檔：
資料暫別目前的處理活動而存入長期的儲存媒體。這個階段所注重的是
 資料加密
 資產管理及追踪
(6) 銷毀：
資料已不再使用而進行永久性的實體摧毀或以數位密碼粉碎來達到資料徹底銷毀之目的。最後一階段要留意以下措施
 數位密碼粉碎
 數位銷磁
 內容自動發現來確認仍有相闗資料流通在外
— 確認資料確認無法回復
— 確認目前及所有備份皆被刪除

以上的六個階段所談的都是資料安全處理的一種過程，除此之外，我們還需要針對地點及存取方式進行考量
(A) 地點：要從當地的規範、雙方的合約及其它法規等方向來檢視，來確認實質或邏輯的雲端資料存放或存取地點是符合規定的。
(B) 存取：雲端服務的使用者要能時時掌握是誰在用資料，資料是如何被存取的即時情報

不同使用者在不同的地方存取雲端資料時，針對不同的動作(Functions)會有不同的權限，其動作包含有資料的存取(Access)如創建、拷貝、轉移及散播等；處理(Process)即是符合企業的商業流程；儲存(Store)即保存資料至檔案、資料庫或其它媒體。如此可組合出對應的權限管理。其示意圖如下所示：

將以上動作與之前所提及的六個階段作一個對應將產生以下的對照表

每個資料安全生命周期階段皆可以產生以下的安全控制表

而以資料安全周期以藍本所產生的安全措施為考量，將能完整地含蓋各個雲端資料安全所應顧及的層面。

參考資料
1) Data Security Lifecycle versus Cloud Computing, KPMG
2) SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0, CSA

標籤 :