• 會員中心
  • 訂閱管理
  • 常見問題
  • 登出

雲服務資安規範 成新焦點

本文共1602字

經濟日報 張皓翔

雲端運算服務(雲服務)發展至今,不論技術或商業模式都步入成熟期,許多企業因應新的數位轉型趨勢,逐漸將自身IT系統從過去的自建機房模式轉向雲端架構,隨著雲服務被廣泛採用,其安全性、品質、數據使用等標準開始受到更多重視,許多國際組織、各國政府陸續推出多種對雲服務的監管措施,這讓雲服務的合規議題浮上檯面,成為供應商與使用者相當重視的一環。

雲服務廣泛採用,同時帶出兩項較常被檢視的問題。首先是資訊安全與信任的疑慮,雖然多數雲服務供應商強調產品的安全性,但事實上,即使三大公有雲商—AWS、微軟、Google 近年皆出現資安漏洞事件,例如Amazon旗下直播平台Twitch遭駭客入侵,數千名直播主的分潤資訊被公開;微軟Azure的Cosmos DB資料庫服務被發現有嚴重的安全漏洞,外部使用者可下載、刪除或操控用戶的商業資料庫;Google App被發現存在資安漏洞,若遭惡意人士利用,容易被駭客入侵。

推薦

過去企業自建IT機房,駭客入侵、資料遺失等資安事件的風險由企業自行承擔,進入雲端時代,不論選用IaaS、PaaS、SaaS形式,都是將IT系統「外包」給供應商,如果出差錯,責任歸屬是企業自身或雲服務供應商?

美國第一資本銀行2019年發生大規模數據洩漏事件,合作的公有雲廠商為AWS,事後第一資本銀行被主管機關重罰8,000萬美元,AWS卻全身而退,即使AWS官方的「風險與合規白皮書」已先聲明客戶應承擔的風險,但仍有責任分配不合比例的爭議。

為確保雲服務廣泛使用下能有效降低問題的疑慮,許多國際組織、各國政府推出相關法規、認證規範雲服務的標準,歐盟2016年推出「通用數據保護條例(GDPR)」、美國加州2018 年通過「加州消費者隱私保護法」等,是從個人隱私保護角度出發,要求雲服務商的產品須符合特定資安標準與數據使用限制。雲服務業者也會因某些產業具有較高的監管級別而受到規範,例如金融領域的「支付卡產業資料安全標準」(PCI DSS)、醫療領域「健康保險便利和責任法案(HIPAA)」等。

這些法規依其目的,對雲端產品有不同的要求,部分法規要求雲產品須通過指定的資安相關標準,或有些法規會限制數據存放位置與流通區域,這些規範多為「硬限制」,也就是說雲服務須符合法規標準,才能在特定地區販售、營利,因此其合規與否成為雲服務商面對的課題,而隨著他們將版圖拓展到全世界,這個課題會愈來愈複雜。

對客戶來說,不合規的雲服務可能帶來巨大損失,以HIPPA法案為例,若企業選用違反其標準的雲服務,最嚴重可能得面臨25萬美元罰款及十年監禁。不論是從供、需方來看,雲的合規議題已是當今顯學,許多組織招募數名員工,甚至整個部門專責追蹤、處理雲服務的合規性問題,以確保組織在雲端化的道路上,能同時符合複雜的監管環境。

近幾年連一向較保守的金融、醫療、國防等行業開始推動內部IT雲端化,證明雲服務已相當成熟,未來將逐漸取代傳統企業IT架構成為新的主流。雲服務被廣泛使用並成為大眾的必需服務後,就連帶受到相對應的監管壓力,各國政府將陸續針對雲服務的品質、安全、規格釋出更多標準。

雲服務具有外包的性質,多數企業擔心服務商無法保護數據而裹足不前,為獲得企業信任,資安是雲服務合規議題重中之重,雲服務商要藉由獲得多種第三方的資安標準認證,來證明產品可靠性,預期未來資安將成為雲服務合規議題的核心。(作者是資策會MIC產業分析師)

MIC

資策會產業情報研究所(MIC)成立於1987年,專執ICT產業各領域的技術、產品、市場及趨勢研究,以「領航亞洲ICT產業情報暨顧問服務」專業智庫自期,扮演「政府智庫」及「產業顧問」角色。 研究範疇涵蓋電腦系統、行動通訊、數據網路、顯示器、多媒體與消費性電子、半導體、環保綠能、太陽光電、企業資訊應用、軟體應用服務、文化創意產業及前瞻研究。並觀察全球產業發展趨勢,對台灣、中國大陸、日本及南韓等地區深度研究。

※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容

延伸閱讀

上一篇
第六屆創業之星獲獎團隊/酷堤康 打造發票生態系
下一篇
三星讓利 新折疊機不漲價

相關

熱門

看更多

看更多

留言

完成

成功收藏,前往會員中心查看!