微軟於日前 ( 1/30 ) 公佈的 2020 財年第二季 ( 截至去年 12/31 止 ) 財報顯示,營收躍升至 369 億美元 ( 約新台幣 1.1 兆元 )、年增 14%,其中,雲端部門營收達 118.7 億美元 ( 約新台幣 3580 億元 ),業績更較去年同期上升近 3 成,可見雲端服務的成長性極佳。
隨著網路基礎建設更加完善、資料傳輸速度的提升,及雲端資料存取的便利性,都加速雲端服務的普及,包括 Google、Dropbox、Amazon 等廠商也都競相推出相關雲端服務,使用雲端進行資料分享、協作及保存,也成為你我日常生活中的一環。
為何企業都愛用雲端服務?
企業之所以使用雲端服務,主要著眼於 成本降低、佈署彈性、提升效率 等三大特性,透過外部廠商提供的雲端服務,不僅可降低企業購置 IT 設備的資本支出 ( Capital Expenditure ),也不必提列設備折舊的費用,實現企業輕量級資產的經營模式外,也連帶助攻了網路電商等各種新創企業的發展性。
以美國國家標準技術研究所(National Institute of Standards and Technology,以下簡稱 NIST ) 對雲端運算的定義而言,是一個透過網路存取的「資源共享池」,它可讓使用者便利且彈性地依照自身需求,向服務供應商取得所需的硬體或軟體資源,如網路、伺服器、儲存設備、應用程式和服務等等。
雲端三大服務模式: SaaS、PaaS、IaaS
根據 NIST 的定義,雲端模式共分為 3 項:
一、軟體即服務 SaaS(Software as a Service , SaaS)
SaaS 常見範例像是 Gmail、Google 行事曆、Office 工具、ERP 系統,使用的對象多為「一般大眾」。用戶只需透過網路、登入帳戶,不論你在何處,使用的是自己或親友的手機、平板電腦等行動裝置,便可連接至雲端服務提供者的網頁,存取資料,且無須購買、安裝、更新、維護任何硬體或軟體。
二、平台即服務 PaaS(Platform as a Service, PaaS)
PaaS 的典型例子像是 Google APP Engine、Microsoft Azure,使用的對象多為「軟體開發工程師」。藉由雲端服務供應商提供的運算平台或解決方案,包括伺服器、儲存空間、作業系統、程式語言、資料庫等服務,用戶端可進行軟體或應用程式的開發、測試、管理、營運,卻不用負起雲端基礎設施的建造與維護,只需要控管所在的主機組態即可。
三、基礎設施即服務 IaaS( Infrastructure as a Service, IaaS)
IaaS 代表性的服務像是 Google Drive、Microsoft Azure、Amazon EC2,使用的對象多為「IT 管理人員」。供應商提供雲端運算服務所需的設備,例如伺服器、雲端硬碟儲存等,讓用戶能夠使用各種基礎運算資源,用多少、付多少,且不需維修或更新基礎設施,僅需控制其作業系統、儲存裝置,或是有限制地控制防火牆,負載均衡器等網路組件。
七項雲端資安新標準 保障再升級
國際標準 ISO / IEC 27017 ( 雲端服務之資訊安全管理 ) 已於 2015 年正式發佈,它是在 ISO / IEC 27002 條款 5 ~ 18 的控制措施上,額外補充、增加與雲端相關的控制措施指引。
ISO / IEC 27017 引用 ISO / IEC 27002 的 37 個控制措施,提供「雲端服務客戶」( CSC ) 和「雲端服務提供商」( CSP ) 在雲端資訊安全上的相關指南,並針對雲端相關資安威脅 ( threats )與風險 ( risks ) 等考量面向,額外新增 7 個延伸的安全控制措施,內容分別羅列如下:
CLD.6.3.1 在雲端運算環境內共享的角色和責任 ( Shared roles and responsibilities within a cloud computing environment )
CLD.8.1.5 雲端服務客戶資產的移除 ( Removal of cloud service customer assets )
CLD.9.5.1 虛擬運算環境的區隔 ( Segregation in virtual computing environments )
CLD.9.5.2 虛擬機器的強化 ( Virtual machine hardening )
CLD.12.1.5 管理者的操作安全 ( Administrator’s operational security )
CLD.12.4.5 雲端服務的監視 ( Monitoring of Cloud Services )
CLD.13.1.4 虛擬和實體網路安全管理的一致性 ( Alignment of security management for virtual and physical networks )
倘若企業、其他單位組織或客戶的資料皆存放在同一台機器設備上,一旦其中一家公司或用戶發生資安意外,此時就非常可能波及自家企業的各類資料。因此,ISO / IEC 27017 強調在多租戶 ( multi-tenancy ) 的環境下,必須確保用戶間的 資料安全、網路區隔及存取權限控制 等管理無虞。如同百貨公司提供場地給各大專櫃進駐時,除了提供水電、空調等基礎營業環境,更應提供清楚的專櫃位置或實體隔間牆,以確保各家專櫃內的資產、產品不致遺失或混淆。
善用雲端科技 更要注意安全措施
如同廣受推崇的訂閱經濟模式,雲端服務可為雲端供應商帶來持續性的營收,取代過去一次賣斷的商業模式;對雲端使用者而言,除了能夠「以量計價」( 亦即「用多少付多少」),還可彈性地配置資源,不用在一開始就投入大量建構軟硬體的成本。
總的來說,在雲端服務發展不可逆的趨勢下,雖然可能會衍生相關風險,但若能參考國際標準 ISO / IEC 27017 的指引,雲端服務提供商和使用者間以書面化簽訂協議或合約,載明雙方權責義務,兩造雙方也提早做好相對應的管控措施,確保資料存取獲得完善保護,同時了解「GDPR 資料跨境傳輸規範」等特定產業的法規、避免違法,雲端科技將有助於企業研發更具前瞻性與創新力的產品及服務,成為公司持續成長的下一波動力來源。
---
ISO / IEC 27001 :2013資安管理系統:https://iso2u.cc/V5Wn9
領導力線上諮詢:https://iso2u.cc/AskMe / 0800-222007
COMMENTS