雲端平台的治理/風險控管/合規 part 2

在雲端環境下的資安效益

上一篇我們提到企業在雲端使用上的機遇與挑戰,今日這一篇我們來談企業使用雲端的資安效益。

雲端的資安竟然比我地端機房的資安做得還好.這應該顯然違反一般人的直覺.就以下幾點來分為什麼企業將IT服務移到雲端會有資安上的效益.

使用雲端資安服務是便宜的—

在地端機房要使用各類的資安設備或服務一般都需要很大的投資.而且也不知道在地端機房安裝了這些資安設備後到底有沒有效益.然而由於雲端的特性可以讓您很清楚的知道今天啟用了這項資安服務到底有沒有做到預期中的資安防護(因為隨時都有使用效率與報告).就算沒有效益也很能很快的移除.不需像地端機房一樣,買了之後沒用就放在一邊徒然浪費公司資源.

資安議題是所有雲端業者的第一要務—

雲端業者為了要讓客戶安心使用他們的雲端平台各類的資安認證都會完全去取得. 例如ISO27001/ISO27017/ISO27018/SOC 1/SOC 2/SCO3/PCI DSS/HIPPA/FedRAMP/EU Model Contract Clauses/FIPS 140-2 Validated/FERPA (U.S.)/GDPRSarbanes-Oxley Act (SOX)等.基本上一般私人企業不會去取得這麼多的資安相關認證.光就這一點來說,雲端業者的資安認證是比絕大多數的私人企業來得好.哪為什麼還是有哪麼多的雲端資安事件發生呢? 絕大多數都是人為問題,所以如何讓人員在資安上有一定的了解與教育訓練是非常重要的.否則就算在地端機房也一樣有資安事件,只是在地端機房大家礙於面子不會自己宣傳.雲端一出事就眾人皆知.

通用的標準介面—

雲端業者不論是任何一種服務都採取一致的管理介面來管理,並盡力簡單化相關設定.相反的,由於地端機房有各式各樣的設備介面,IT人員必需熟悉各項資安設備的介面.人員必須耗費一定的心力與時間去學習與熟悉這些資安設備.

強大的資安效能資源—

在地端機房的資安設備效能都是固定的,若有特殊事件發生時,地端機房的資安設備效能將不敷使用並造成服務中斷.

各類資安服務的事件整合—

地端機房中,很多都是不同品牌的設備若要集中分析所有資安設備的事件,大都是買商業性或一般免費的軟體來收集這些資料,而這些第三方付費或免付費的軟體又不一定能完全整合現在或未來的資安設備的稽核事件.在雲端環境中,所有的服務/資安稽核事件都是整合在一起的.省去這些麻煩/費用/時間等.

立即性的資安服務部署—

雲端的特性就是隨選即用.資安服務也不例外,一般的資安事件都是警急而立刻需要被修復的.地端機房若要有啟用該資安服務通常須等上一段時間.而在這端時間內,要不停止服務要不就有很高的風險駭客入侵.所造成實質上或商譽的損失難以估計.

以上幾點的分析可供您評估在雲端機房與地端機房之間的資安差別

發佈留言