This page looks plain and unstyled because you're using a non-standard compliant browser. To see it in its best form, please visit upgrade to a browser that supports web standards. It's free and painless.

雲端運算與網路安全趨勢 會員登入 會員註冊

 

Cloud2

今天跟任何IT主管聊天,他們都會告訴你他們正在旅程中:從實體環境到虛擬化和雲端環境的旅程。因為沒有兩個IT環境完全相同,所以他們都在這旅程中的不同階段,但統計數字說明了一切。幾年前,Gartner預測,到了2015年,有四分之三的x86伺服器工作負載會虛擬化,這2011年的同一份報告還預測虛擬機(VM)的數量會以 38% 的年均複合增長率在2010到2015年間成長五倍。

這對大多數IT管理者來說是再清楚也不過,在削減硬體成本和用更有效、更環保及更靈活的方式來運行系統的壓力下。世界各地的組織都在虛擬化實體伺服器,來享受公共雲和私有雲的威力以及所帶來的靈活性,可擴展性和易於管理的能力。然而,當虛擬化和雲端運算簡化了一方面,它也在另一方面帶來複雜性。組織最終會在他們的現代化資料中心運行實體、虛擬和雲端的混合環境。

強行將傳統的實體機器安全帶入這複雜的混合環境將無法正常運作。採用新的方法是必要的。

勇敢新世界

虛擬環境呈現出全新的安全風險,網路犯罪分子已經被證明更加能夠利用這些新的安全漏洞。

虛擬機的本質是動態。IT主管們可以隨時根據需求來配置或取消配置,在任何需要的時候提供及時的運算資源,不管要用多久都可以。很難像傳統的IT環境一樣去持續地保持這些虛擬機更新到最新的安全修補程式。這可能代表當虛擬機休眠一段時間之後,一啟動就帶來了嚴重的安全漏洞。這些被稱為「即時啟動差距(instant-on gaps)。」

動態虛擬環境的另一個副產品是,不同信任等級的虛擬機最終常常被放在一起,帶來了VM間攻擊的風險。這在多租戶公共雲環境中尤其是這樣,在那裡,企業往往很少或根本沒有辦法決定他們的虛擬機器會跟誰一起分享基礎設施。傳統硬體型的IDS/IPS解決方案無法監控VM間的流量,可能讓組織暴露在這種攻擊下。

虛擬環境的最後一個主要問題跟資源競爭和效能有關。虛擬機的密度有時會發展到幾百台,所以如果使用傳統的安全產品時,防毒掃描或其他計劃性更新會發生在每一台機器上。由此產生的「風暴」會嚴重影響性能,同時也破壞了安全性和法規遵從工作。

現代化的解決方案

答案是投資現代化的資料中心安全性。也就是說,安全工具和產品在設計時已經考慮到虛擬和雲端環境。尋找無代理程式架構,意味著將資源密集型任務交給了虛擬設備,對抗安全「風暴」所帶來的風險。由於有虛擬修補功能,現代化的資料中心解決方案也將確保每個虛擬機都配置在完全安全的狀態,解決即時啟動差距問題。最後,找到廠商可以保證你的每一個虛擬機都防護在安全的網路內,無論身在何處 –當它們從一個虛擬機管理程式移動到另一個或到外面的公共雲時防止虛擬機間的攻擊。 

Deep Security的不同之處

趨勢科技 Deep Security 是設計用來保護組織橫跨實體、虛擬和雲端伺服器的業界領先安全解決方案。它具備防惡意軟體、網頁信譽評比、完整性監控、入侵偵測和防禦、防火牆和日誌檢查 – 提供無代理程式模式給虛擬環境。

這裡還有一些額外的好處:

  • 為虛擬化和雲端架構的領導廠牌最佳化,包括 AWS、微軟的 Azure、VMware 的 vCloud混合服務。
  • 部署在虛擬機管理程式層級以加強能見度,更容易互相配合
  • 建立自我防禦的虛擬機來對付虛擬機間攻擊
  • 虛擬修補功能以關閉即時啟動差距
  • 提供給所有環境的單一平台,可以簡化管理,降低總體擁有成本
  • 利用業界領先的主動式雲端截毒服務  Smart Protection Network提供威脅情報來提供防護

 

@原文出處:Your Journey to the Cloud: Securing the Modern Data Center 作者:Mike Smith

 

不管是用哪種公共雲,安全性都是雲端服務供應商和你(服務使用者)的共同責任。對於IaaS產品來說,這通常意味著以下的責任分工:

 

雲端服務供應商
設備

實體安全

網路

基礎設施

虛擬層

作業系統

應用程式

資料

 

如果你曾經使用過AWS雲端服務,那你可能已經熟悉於這種模式。AWS一直在努力推廣此一模式給社群,所以現在其他服務供應商(以及像趨勢科技這樣的合作夥伴)就能夠利用這教育成果來幫助提高每個人在公共雲內的標準。

共同責任模式的成功關鍵在於確保你確認服務供應商的工作,然後集中精力在防護你責任範圍內的部分。

微軟的責任

微軟已經替Azure建立一個集中的安全性中心。微軟的Azure信任中心是個很棒的地方讓你可以確認微軟如何履行其對安全性的責任。

第一步是下載並閱讀 – 「Windows Azure的安全、隱私和合規性」。這份白皮書介紹了他們對於安全性的做法、目前的努力和他們對於不斷改進Azure安全性的一貫承諾。

信任中心的法規遵循頁面強調和確認微軟已獲得或正在申請中的各種第三方認證。這是確認你的雲端服務供應商所做的安全努力時的重要考慮因素。

符合像SOC 1和2 Type 2FedRAMP等第三方框架不僅僅是對安全性的承諾,還包含了透明度。這兩者對都是合作夥伴的關鍵部分…也正是你在檢視和你雲端服務供應商的關係中所需要的。

 你的責任

現在,你已經瞭解了微軟如何履行其安全責任,是時候來看看如何最佳的盡到你的責任。

當移動到公共雲時,最大的改變是失去了你在原本資料中心所依賴的邊界控制。你不再有強大的防火牆和入侵防禦系統檔在你網路的進出口來過濾所有的流量。同樣地,網關類型產品也會很快地過時,因為雲端環境裡擴展和設定的難度

我們失去對邊界的控制,並不代表我們就該接受而繼續前進。實踐SANS的20大安全控制是個很好的實作方法,我們不能想都不想就接受不去落實第13項(邊界防禦)和第18項(安全網絡工程)。

你應該研究如何將曾經存在邊界的安全控制移到虛擬機器層級上。這意味著直接在Azure虛擬主機部署入侵防禦系統。

同樣的,你應該部署虛擬主機到Azure虛擬網路。不去管初步的概述,虛擬網路可以部署成純雲端,並透過你的部署設定內的較底層來提供更多控制。

 

這只是開始

你現在應該已經更瞭解Azure的安全模型和你在其中所扮演的角色。有了這些認識,你現在可以開始將安全整合到你的部署中,並確保你提供所有Azure運作一個高的安全等級。

@原文出處:Security On Azure作者:Mark Nunnikhoven(首席工程師)

 

 

作者:Dave Asprey(趨勢科技雲端安全副總)

在過去的15年裡,我替發明資料中心代管模式的公司撰寫了第一份的服務層級協議(SLA),而且我帶領兩家使用傳統企業許可條款的公開上市IT軟體和硬體公司遷移到基於用量的定價模式。過去的經驗讓我非常瞭解大型企業如何看待IT採購,以及雲端服務供應商如何看待服務提供。

Cloud5

很遺憾,這是一個沒有太多重疊部位的范氏圖。當大型企業考慮遷移到Amazon網路服務(Amazon Web Services~AWS),這裡有三件你需要記住的事情。

1.    你的法務部門不會得到所想要的東西。

在雲端運算初期,服務層級協議曾經是可以討價還價的東西。雲端服務供應商重複提供完全相同的服務才能夠獲利,提供每個客戶不同的服務層級是無法重複或擴展的模式。

因為服務層級協議在大型IT的外包合約裡一直是可以商量,大多數大型企業的法務部門認為有空間來和AWS制訂和協商SLA。但其實並不行,這種要求只會減緩你的AWS部署,除了挫折感外並無法得到任何結果。

與其只是碰釘子,不如去研究AWS所提供的額外支援服務。這些可以解決許多相同的問題,不過在標準套件中可能只需要一個點擊。

2.    你的採購部門不會幫上忙。

在大型企業中,採購部門通常會加入探判。這在大型企業裡運作得很好,因為探判專家往往比IT主管來得專業。除非是跟牆壁對談,在這種情況下,採購部門的談判專家只會拖慢專案的進行。

AWS的價格透明公開且標準化。有傳聞堅持某些非常大的公司成功地協商出好價格,但我相信這些都只出現在AWS的最早期階段,在今日並沒有出現在很多公司…如果真的有的話。即使你喜歡AWS產品,你的採購部門可能會拉住你,要你考慮別的產品,這樣談判專家才有事情可做。

只是要記住,AWS有定期更新定價的習慣,而且當它更新時,通常會朝向一個方向…往下!事實上,自2006年以來,AWS已經出現過38次的降價…當你考慮其他產品時,要記得這一點。

3.    你的財務長會窒息。

大型企業的ERP和財務系統通常假設你會購買伺服器並在資料中心的某處租用空間。這些要不是資本支出就是每月固定的長期運作成本。可預測的數字對財務主管來說比較令人放鬆。

不可預知且基於用量的定價模式往往打破了靜態的業務流程,讓財務主管緊張的咬指甲。不幸的是,雲端服務供應商在這裡幫不上忙。企業會越來越習慣不可預期且基於用量的定價會佔IT預算裡越來越高的比例。

記得要有耐心的與你的財務團隊合作。遷移到雲端環境是種對IT的調整,它會讓財務方式完全改變。同心協力最終可以提供給大家一個更好的工作環境…並且讓挫折感降到最低。

 

@原文出處:Three things large enterprises should know about getting started with Amazon Web Services

 

作者:Dave Asprey(趨勢科技雲端安全副總)

企業邁向雲端之旅的第一步看來已經完成了。證據就是今天很少企業用完全非雲端的方式來運行他們的基礎設施。回首過去幾年,第一步明確的動機通常是為了削減成本和效率考量。

如今,雲端運算已經成長。最近一項來自牛津經濟學院和IBM的調查訪談了802位跨越24個產業、IT組織之外的決策者,關於他們使用雲端運算的動機。結果令人驚訝:

「有五分之一的組織發現了一個讓競爭差異化的秘密來源。這讓他們可以用新方法為客戶提供服務和重新構想商業模式。有助於從資料中找出有價值的見解和改變他們做決定的方式…它有助於…比其他組織更快地讓收入和利潤成長。」

Cloud1

換句話說,企業一開始是為了省錢,但卻發現了其他更重要使用雲端的理由。而其他高階主管也都注意到了。

也許這次調查裡最讓人印象深刻的是,雲端運算的戰略重要性對非IT決策者(像是執行長)來說增加了超過一倍,從34%至72%。事實上,如果你是一般的IT高階主管,雲端運算的戰略重要性大約排在58%,你的執行長可能比你更認為雲端具備戰略價值。

這並非新故事。如果你曾在1990年底待過IT部門,你可能會記得當你的行銷長未和你商量就簽下虛擬主機和電子商務的外包合同有多麼令人討厭。今天會再次發生的風險不高,但你今年會很驚訝地發現你的高階管理團隊可能會向你要求更多的雲端,而非減少。

這是你IT職場生涯的好消息。已經有好些年了,IT部門一直都是成本中心,但其實它具備有戰略價值。如果這調查可信,未來幾年將對IT人員和已經踏入雲端的高階主管大有好處。

 

@原文出處:Why did you go to the cloud in the first place?

 

現在其實很難確認一個雲端服務是否停擺。它可能只是短暫中斷,但快取和其他系統會接手,這通常是看不見的。如果你的雲端應用程式可以使用,並提供服務給你90%的使用者,但其他10%沒有,這服務是活著還是掛點了?有介於兩者之間的嗎?

Cloud4

有時,它是行銷或服務水平協議方面技術性的問題。而其他時候,它是媒體的問題。拿微軟Azure停擺為例子。微軟公共雲內運算部分的管理功能有問題。大概有24小時的時間是一團混亂,IT部門受到了影響,而且之後仍然餘波震盪一段時間。

對於我這樣大半職業生涯都在雲端上的人來說,當我看到新聞時所想到的第一件事就是,「我很高興那不是我。」然後我問自己,「客戶可以做些什麼,好在這樣的故障下保護自己?」

架構上,我知道要建議完全備援系統,最好來自不同的硬體或雲端服務供應商。但作為實用主義者,卻也很痛苦的知道只有少數客戶有這樣的預算或耐心來實現這樣的系統,世界正在將他們拉到單一雲端服務供應商,而且它本身可能依賴於特定硬體供應商。

因為當IT部門要向財務長報告時,總是會有在經濟跟風險之間抉擇的問題。今天,完全可以備份到不同的公共雲供應商,甚至有待命的虛擬機器。你甚至可以讓你的資料或應用程式的備援放在不同的基礎架構即服務(IaaS)供應商,或是從一個平台即服務(PaaS)供應商故障轉移到另一個。

這裡只有一個小問題,就是這樣做很花錢。

二十年前,討論圍繞是否要將預算翻兩番來做鏡像伺服器。今天也面臨差不多的問題,要做鏡像雲端。情況並沒有太大改變 – 你只能在該系統非常關鍵且資料很有價值時才會決定這樣做。在一般情況下,因為進入雲端的首要原因就是要降低營運成本,好的生意決策是依靠單一的供應商,然後讓他們自己做好備援。

多重雲端的問題比簡單的鏡像伺服器還困難,原因是不同雲端供應商有不同的政策、程序和管理制度。這意味要維護安全性來橫跨不同的備援雲端供應商,使用許多傳統而來自「舊世界」資料中心的安全產品,這可能會相當痛苦。

解決的方法是將安全系統和其管理分開,這樣就可以用單一政策在不同的雲端管理安全性。好消息是有安全公司將這件事當成優先事項,包括趨勢科技和它的Deep Security平台,客戶可以實現備援的運作要求而無須影響到安全性。

@原文出處:How do you know if your cloud is actually down?
作者:
Dave Asprey(雲端安全副總裁)

 

作者:Dave Asprey(趨勢科技雲端安全副總)

哇嗚。Gartner說:「雲端運算的使用在不斷地成長中,到了2016年,這成長將會增加成大宗的新IT支出。」更妙的是,他們預測,「2016年將會是決定性的一年,私有雲開始讓位給混合雲,並且有近一半的大型企業會在2017年底部署混合雲。」

Cloud

 嗯,那這裡面有多少屬於雲洗白(cloudwashing)?這在今年已經變得越來越常見到,將傳統IT產品重新用「雲端」命名。我很肯定我的烤麵包機也具備有雲端功能。但如果你撇開炒作,Gartner是真的專注在企業支出上,因此讓我們假設這大數量的成長中,只有極少數比例來自被錯誤分類的傳統IT產品。

我完全同意這些看法,將會有更多的IT支出在兩年內放到雲端。許多我所談話過的企業已經不再將應用程式放到自己私人資料中心擺在第一位。他們只有在有很好的理由不將其放到公共雲時才會這樣做。在兩年前,安全性會是個好理由,但到了今天,已經可以用同一套安全系統(如趨勢科技的Deep Security)來從同一個主控台來管理混合式的架構,包括公共雲和私有雲等元素,所以安全性問題現在已經可以被解決。另一個事實是,大多數私人資料中心也都在運行私有雲,所以當你將公共雲和私有雲的支出混在一起,當然它會佔一半以上,就如同Gartner所預測的一樣!

Gartner還精確地預測混合雲部署將會出現在一半的大型企業裡。但我並不確定大多數企業是否會將其稱之為混合雲。混合雲這名詞太過籠統,幾乎任何現代的公共雲部署,在任何狀況下連接到企業資料中心都可以稱之為混合雲。但如果透過合作夥伴所提供的軟體即服務(SaaS)和平台即服務(PaaS)產品來連結三個不同的公共雲又該稱為什麼雲?我們只能說這真的很複雜。

企業應用常常會變成這樣,這也是為什麼你可以得到一個關於電腦資訊系統的學士學位。雲端並無法改變這狀況。

 

@原文出處:More than half your IT spend is going to be cloud by 2016

 

作者:Dave Asprey(趨勢科技雲端安全副總)

當大多數IT專家談論到雲端運算,他們會想到基礎設施即服務(IaaS)或平台即服務(PaaS)。不太容易去想到的是,有很大比例的IaaS是用來推動軟體即服務(SaaS)產品,而SaaS本身占了雲端運算市場的最大部分。

Cloud5

David Linthicum在InfoWorld上引用了一篇Capgemini的報告,顯示雲端運算市場規模從2009年的174億增長到2013年的442億。而有趣的是,SaaS的市佔率也從69 %降低到58%,歸因是由於IaaS的成長。

我並不同意。現在越來越難去將一個應用程式歸類到一個特定類別。如果它依賴其他幾種雲端技術,那它是軟體即服務,還會變成混合雲?如果它被銷售為基礎設施即服務產品,但管理是靠軟體即服務呢?你的內容傳遞網路(CDN)是基礎設施即服務產品或軟體即服務產品?我也不知道。

而我馬上浮現到腦海裡的是趨勢科技Deep Security產品。它非常的具有彈性,讓你能夠從自己的私有雲、公共雲或趨勢科技所代管的服務上來執行管理主控台。它可以管理橫跨實體伺服器、虛擬機器、私有雲和公共雲上的安全性。你可以基於使用量(即SaaS)來計費,或是實行企業合約。

你告訴我 – 這是SaaS產品?或是IaaS?不管是什麼,它都有一定的規模,而且越來越成長,而且它並不是簡單的SaaS/PaaS/IaaS,這我們在2006年所發明的層次架構,用來解釋我們自從代管和應用服務供應商(ASP)在1997年崛起後所做的事情。

你雲端策略所該做的是不要太關心某個東西是否在這三個類別之中。相反地,要注意你該如何進行管理,以及你要如何付費。這將會讓你從戰術決定前進到戰略規劃和實施。

@原文出處:What is really driving the massive growth of cloud computing?

 

趨勢科技在拉斯維加斯的 Gartner 2013資料中心大會上談論我們對於未來防護資料中心的願景。正如你在日常的工作裡會發現,資料中心以飛快的速度在進化著,許多單位都擁抱著伺服器虛擬化,還有雲端運算都是資料中心的延伸。當然,這些改變也為IT團隊帶來許多挑戰,同時也帶來很好的機會。想要能夠正確的保護這些新的環境,資安和營運團隊必須相互合作來達成目標。這代表的意思很簡單卻也非常重要:負責這個新的環境,你可以實現比過去更好的安全性 – 更容易稽查,更易於管理,並且對於靜態安全架構有巨大的營運優勢。

Cloud1

今日的資料中心看起來非常不同

毫無疑問的,同質伺服器環境已經是過去式。根據 Gartner的報告,伺服器的工作負荷在2016年會達到驚人的71%虛擬化程度,企業會考慮那些宣傳所提到的各種好處,像是降低成本、提高企業效率和提高靈活度。客戶也會選擇部署到雲端環境,所以像亞馬遜網路服務(AWS)以及其他類似服務都呈現巨大的成長。目前的挑戰是,不能簡單地將傳統工具重新部署到虛擬或雲端環境,並且如預期地運作。新一代資料中心需要新的防護方式…讓我們來看看一些環繞在資訊安全的新動態。

駭客是門生意

 趨勢科技一直在監視著網路地下世界,有四分之一個世紀之久,並且建立起一個我們自信相當準確的敵人資料庫。想侵入你資料中心的人都有足夠的動機,充足的資源,組織力和差異化。總之,網路犯罪已經走向商業化。

 網路犯罪已經從根本上變成一門生意。模仿一般的商業世界,發動攻擊所需要的資料、工具和資源都可以在網路地下世界進行買賣。只要你有足夠的錢以及知道可以去哪裡找。

跟一般的企業一樣,成功讓網路犯罪份子更加專注和專業。就像Malcolm Gladwell在2008年的暢銷書 – 異數(Outliers),他們經過一萬小時的努力取得成功。攻擊的每一個面向都經過測量、分析和最佳化以取得最大的投資回報率。

我們要怎麼前進?

所以,當我們轉移到虛擬環境和雲端環境,我們面臨著多重的挑戰。營運和資安部門需要更加地共同努力來實現業務目標。駭客不斷地試圖竊取你的資料和想要入侵資料中心。那麼我們該如何應對呢?

負責檢視下一代資料中心防護方式的作法跟過去傳統防護資料中心的作法一樣。安全防護需要可以無縫地跨越實體、雲端和虛擬環境 – 在同一時間,同一介面,使用相同的控制。下一代資料中心有著簡化管理,提升稽核能力,並真正實現對敏感資料和應用程式做到更佳防護的機會。有意思的是,下一代資料中心會和安全防護更加合作無間 – 包括改進啟動時間,節省CPU處理能力,擴充性和穩定的效能 – 這讓資安和營運團隊終於可以一起哼著勝利的曲調。

@原文出處:Taking charge to secure the next generation data center 作者:dsmeaton

 

作者:Mark Nunnikhoven(趨勢科技首席工程師)

所有的影片都已經上傳到YouTube,有一大堆精彩的內容等著你去看。也正因為這樣,想看完全部幾乎是不可能的任務。

Cloud

但別怕,我在這些講座裡潛水了好一段時間,選出了我最喜歡的幾段。下面是我心目中的前五名,加上我覺得你會感興趣的原因:

1.    由一到多:進化的VPC設計

VPC是個很大的題目。有許多種可能的設定。看看來自AWS的Robert Alexander介紹幾個真實環境的設計,從簡單到非常複雜都包含在內。這場講座是400等級(ARC401),可以預期有相當高的技術程度。

通過VPC服務來了解可用選項是成功部署的關鍵。學習到有哪些可能性,以及更重要的,現實世界裡有什麼可以幫你成功的跳到雲端部署。

最起碼要看完簡報資料。不過幫自己一個忙,花一個小時的時間來看看這段影片

2.    利用Chef部署「英雄聯盟」資料流

這場架構主題區內的講座(ARC205)介紹Riot Games如何利用Chef來打造它們遊戲「英雄聯盟(LOL)」背後的資料流。裡面詳實的討論了他們為了達到目標而所做的一些決定。

觀看影片或閱讀簡報資料

3.    介紹Amazon Kinesis:即時串流處理

這場30分鐘的談話很好的介紹了Amazon Kinesis背後的概念和動力。這是場平易近人的講座(因此是100等級,BDT103)。

還有更多關於Amazon Kinesis的談話,但如果你想知道它到底是什麼,先從這影片簡報資料開始。

順帶一提,我已經將Amazon Kinesis放在我的新手演出裡。Amazon Workspaces很棒(很快更多相關介紹),還有Amazon AppStream也是。兩者大幅超前同領域裡原本的解決方案,但是Amazon Kinesis將這類型的處理方式帶給全新的對象。

4.    掌握存取控制政策

通常沒有比要求花一個小時來觀看一場關於存取控制政策談話更快讓人睡著的方法了。但是Jeff Wierer在SEC302改變了這個狀況。這場關鍵的講座裡藉由清晰的談話提供了大量的資訊。

到處都是重點,可以說這份簡報資料裡藏著許多寶藏等待發掘。如果你正利用AWS做些什麼,花點時間看看Jeff的談話。

5.    搬遷企業應用程式到AWS:最佳實踐與技巧

在這300級(ENT303)的講座裡,來自AWS的Abdul Sathar Sait和Tom Laszewski詳細介紹了將傳統企業應用程式部署到AWS雲端環境所會面臨的挑戰。

這裡面包含了許多很棒的資料,不僅可以幫你瞭解該如何做,還有為什麼。你應該要來看看將「典型」企業工作負載搬遷到AWS上。

這場講座影片有一個小時,你也可以自行參考簡報資料

身為此次活動的白金贊助商,我們有現場有很大的展示。如果你想瞭解趨勢科技如何提供AWS安全防護,可以觀看我們JD Sherry(@jdsherry)和我(@marknca)所主講的講座 – 「如何在雲端滿足嚴格的安全與合規要求(SEC208)」。簡報資料也提供下載。

我也很榮幸被邀請演講,談談團隊如何幫助建立Deep Security即服務的經驗。這場談話 – 「趨勢科技如何建立自己在AWS上的企業安全產品(SEC307)」也放在網路上,還有簡報資料也是。

Re:Invent大會上發生很多事情。我還沒提到CloudTrail或是我們參與Amazon Workspaces的詳細資料…還有更多即將到來。

感謝你的閱讀,

Mark

@marknca

@原文出處:My 5 Favourite Talks at AWS re:Invent 2013

 

最近有幾起事件敲起了警鐘,像是稜鏡計畫外洩,Healthcare.Gov上線時的問題,還有Adobe Creative Cloud遭受攻擊。網路安全社群可能需要對IT的職業道德有全面性的新指引。雖然像雲端運算這樣的技術可以讓企業、政府機構和安全專家用來收集和處理前所未有的資料量,好幫助保護資產和提供更好的服務,但這力量的使用需要更合乎道德,更謹慎小心。

另外,對於清楚、明確道德要求的擔憂也越來越高。比方說,對於雲端儲存資料的隱私擔憂已經在全球引發朝向隔離、國有化電信基礎設施的趨勢。從巴西到瑞士,政府官員要求他們自己國家的網路和雲端服務不能被外國組織所存取。

對於在過去廿年間,習慣進行全球化、統一性質網路溝通的人們來說,因為全世界越來越對主事者能夠有道德地處理使用者資料失去信心,所造成的損失將會是非常慘痛。此外,這樣子的狀況不僅僅會發生在國際舞台上,也可能發生在個人、雲端服務供應商和組織(像是學校單位)之間。IT道德必須為這新的情勢加以更新,努力地朝向讓公共和私有機構可以恢復信心。

 

缺乏信任可能會導致全球網際網路概念的終止

最近國際對於網路隱私的爭議,是對IT供應商和網路安全社群信任度下降的最明顯證明。巴西和德國最近提出一項聯合國決議案,將延伸保障隱私權利到網路通訊

這舉動沒有指明任何特定國家,也不具有法律效力。然而,它的出現表示對資料收集超出界線的擔憂,已經從正當行使到毫無理由的侵犯。

「在今日,對於存取、儲存或結合個人資料似乎沒有任何技術限制。但是否只要技術上可行都該被允許?」德國駐聯合國大使Peter Witting這樣問到。「我們在對於合理的安全關切和個人隱私權利間的界線在哪裡?」

有些國家已經出現更具體的努力來確保本國公民的資料。路透社報導說,巴西的立法單位已經起草了一項法案,將迫使像Facebook和Google這樣的網路服務巨擘將所有巴西使用者的資料保留在國內

網路公司都會反對這項措施,認為這會破壞網際網路的本質,同時也可能會讓雲端運算服務的成本上升。該法案可能對目前的線上通訊形式造成致命一擊,因為危害了原本沒有侷限的全球運作範圍,以及所支援的開放式技術標準。

雲端服務關係到隱私和信任問題

雲端運算的平地拔起,幾乎也保證組織將有一天必須要解決隱私問題,即使沒有政府監視問題帶來這樣強勁的動力。比方說,瑞士的電信業者(Swisscom)一直致力在將資料保持在國境之內的雲端解決方案,這件事就不是因為美國國安局帶來的影響。

根據Help Net Security,這項動作基本上是由國家支持的,因為瑞士政府擁有絕大部分的瑞士電信股權。新的雲端設計是為了確保資料隱私,並提供具有成本效益的替代方案來提供服務,其中有些很巧的,可能是在其他國家。

這類型的服務實際上可能代表美國國安局等單位對於雲端運算產生更廣泛的影響。在一篇PandoDaily的文章裡,Vineet Jain認為國安局的棱鏡和Muscular計畫為雲端公司帶來必要的方向修正。Jain提到,有些供應商已經很好地將雲端應用程式和雲端資料儲存分離開來,而因為監控行為所造成的隱私爭議,也將刺激更多人跟進。

「值得注意的是,並非所有的雲端公司都會暴露你的敏感資料」,Jain寫道。「透過分離雲端服務(運作在雲端的應用程式)和資料儲存所在(放在雲端或防火牆之後),雲端和軟體即服務(SaaS)可以對業務帶來好處,而不會影響到隱私和安全問題」。

長島學區事件引發信任問題,即便是在地方等級

IT服務供應商需要道德規範,並且更加努力地保護使用者資料的重要性並不只發生在國際間。根據Newsday,John Hildebrand說明紐約具有爭議性的計劃,要將超過兩百萬名學生的資料轉移到亞特蘭大的非營利組織

這家公司InBloom管理包含敏感資料的雲端資料庫,像是學生的考試成績、殘疾和出席記錄等資料。雖然該州和inBloom都向主事者和家長保證,這些資料會被安全地處理,但有些人並未信服。

「這些資料從地方學校的手中被拿走」,一名有三個小孩的紐約媽媽Pamela Verity告訴Newsday。「這是個非常危險的情況」。

教育技術產業可能價值90億美元,inBloom的案例顯示出道德資料處理和尊重隱私的高度風險。有超過600間的紐約學校已經簽署inBloom提案。

 

什麼將構成現代IT安全道德的框架?

提到銀行資訊安全,普度大學的資工教授Eugene Spafford強調了網路安全專家面臨因為這些資料隱私事件所帶來的根本挑戰。Spafford認為,雖然有些道德框架已經存在,但或許還不足以推動網路安全產業,並吸引更多新血進入這領域。

「如果我們真的要將其發展成為一種專業,我們必須讓它可以被普遍認定,讓社會大眾可以對我們有相當的信任,因為我們將需要運行重要設備,替他們管理關鍵資料,尊重隱私,盡我們所能來保護資料安全和使用壽命,保護知識產權並提供相當程度的反應系統」,Spafford說道。

雲端運算讓IT產業可以存取比以往更多的資料。擁有這些資料,也必須負起新責任去尊重隱私,保護使用者免於可能的身份竊盜和只使用必要的資料(因應政府機關情況)來防止攻擊。新道德框架還有很長的路要走,要確保每個人都知道界線在哪裡,有什麼是可以做的,以確保企業不會去踩到線。

@原文出處:Worldwide concerns about data privacy underscore need for new ethics guidance

◎ 歡迎加入趨勢科技社群網站

   

 

1 2 ... 17 18  下一篇»