作者：Rik Ferguson

如果有哪一項議題能讓資訊安全專家緊張，並且招致一票人起立反對的話，那肯定就是雲端運算了。FreeformDynamics 的 Tony Lock 最近在 The Register 的一個研討會中針對該議題做了一項意見調查。
 
當然，最大的問題就在於無法掌控。如果您將資訊放在別人的伺服器，您也只好信任他們的安全措施與保護技術。這讓許多 IT 專業人員大為緊張，原因非常能夠理解。不過，就像任何其他外包工作一樣，凡事總有優點和缺點。所有企業都會有某些外包工作，例如：清潔、快遞、實體安全 (防盜裝置等等)，原因有三： 

• 術業有專攻。例如某家生產產品的企業，他們有開發、製造、運送和支援這些產品的人力。但是，其它非產品開發的工作，有別人做得更好。
• 企業不希望雇用這些額外人力所帶來的成本、時間花費與複雜性。當然，企業可以自行聘雇清潔人員，但是撥一通電話叫專門的清潔公司來代勞顯然容易得多。
• 外包較符合成本效益。如果上述產品開發公司自行花費建置全球化的飛機、貨車與快遞團隊，成本將遠大於每天請快遞公司來運送幾公斤的產品。

發表者：Sichao

在企業雲端儲存領域，Amazon 的 S3 (Simple Storage Service) 與 EMC 的 Atmos Online 是雲端儲存兩大知名品牌。除此之外，我們也提過 Microsoft (Azure) 與 Google (GoogleStorage) 已於 2010 年正式進入這個市場。

Atmos Online 終止服務為企業客戶雲端儲存市場投下了變數。其背後的真正原因大家只能揣測。在小型企業與個人消費者市場，Humyo 這類的線上儲存還蠻適合一些據點分散且需要免管理集中備份的客戶。

但就大型企業客戶來說，仍需仰賴很多其他因素，包括：服務品質協議 (SLA)、隱私權、遵規、稽核以及通路合作夥伴。若通路合作夥伴的解決方案 (軟體與硬體產品) 業績大於服務業績，那雲端儲存僅能成為一種搭售方案。

雲端儲存每一 GB 的月租費平均大約 5 至 15 美分，視服務供應商而定。某些供應商還會按流量 (上傳和下載) 計費。5G 空間加 10G 流量的月租費大約在 $2.50 美元之譜，這價格甚至比一個月的電費還便宜。但根本的問題出在：

• 企業客戶的寬頻基礎架構是否足以承受雲端儲存應用程式需求？ (註：EMC 的 Atmos 從未明確訂出服務品質協議)
• 企業客戶是否非要將資料移到雲端儲存不可？
• 最後，現有的安全措施是否足以應付？

作者：Andy

雲端安全聯盟 (Cloud Security Alliance，簡稱 CSA) 在三月份發表了一份名為雲端運算首要安全威脅 1.0 版 (Top Threats to Cloud Computing V 1.0) 的文件，希望協助企業更了解雲端運算的風險，進而在雲端策略上做出更好的風險管理決策。在該文件中，CSA 列舉了七大威脅，並且提出因應對策。

趨勢科技一向秉持多層次的安全防護理念，在雲端安全方面亦不例外。雖然每一種防護層次都有其獨特價值，但也絕非牢不可破，因此需要多層次的防護來提供真正有效的保護。將傳統的多層次防護概念應用至雲端安全領域，就能盡量降低 CSA 所提出的各項風險。

在雲端廠商所提供的安全措施之外，建置自己的安全防護層的五個要點

我們相信，雲端廠商所提供的任何防護都有其價值存在，但客戶卻不能完全仰賴這些防護。這樣的作法讓許多客戶都採用統一的安全防護機制，不僅容易遭歹徒覬覦，而且歹徒試驗起來也相對單純。此外，變更管理相當困難：因為雲端廠商無法在變更之前事先獲得所有客戶簽名同意 (然而對企業內部安全解決方案來說，好的實務作法都建議應先取得重要關係人同意)。

此外，更換廠商也變得更加困難，因為一旦更換新的廠商，就得重新執行重要的內部與外部稽核，這不但耗時，而且昂貴。綜合上述原因，我們建議客戶在雲端廠商所提供的安全措施之外，還應建置自己的安全防護層。

1. 將所有敏感資料加密，也就是您企業專屬、獨有的資訊。作業系統與應用程式反倒沒那麼重要，一般來說，雲端都是採用標準的作業系統影像，關機時只是單純回到主影像而已。資訊才是您專屬的，這是您從客戶、業務合作夥伴所搜集到的資訊，因此通常要負起保護這些資訊的法律責任。
2. 確保您的防火牆、入侵預防系統 (IPS) 以及入侵偵測系統 (IDS) 能夠個別保護您每一台虛擬機器。尤其是在公共雲端環境，和您的虛擬機器在同一台實體伺服器上執行的其它虛擬機器，您都應該假設可能懷有惡意。雲端供應商的防火牆在此處無法提供任何保護。
3. 唯有在受到嚴密保護的虛擬機器內才將資料解密。在解開資料之前，務必檢查是否已遭到竄改，或者是否有專門竊取資料的惡意程式存在。
4. 務必確定妥善保管加密金鑰，因為金鑰就等於您的資料！

以下說明多層次的防護如何協助您降低 CSA 所提出的各項重大威脅：

雲端運算遭人濫用或惡意使用

發表者：Todd

當我在閱讀各種部落格、IT 產業分析以及媒體報導時，我發現到許多矛盾的觀點。某些作者認為雲端運算較為安全 (例如這篇)，有些則特別強調新的安全挑戰 (例如這篇、這篇、這篇與這篇)。由於雲端的概念目前仍在雛形階段，因此到處充斥著許多似是而非的論點。以下是我最常聽到的五大雲端運算迷思：

迷思1) 基礎架構服務 (Infrastructure-as-a-Service，簡稱 IaaS) 供應商所提供的虛擬私人雲端就像企業內部資料中心一樣安全

「虛擬私人雲端」是 IaaS 領域所衍生出來的新興概念，可讓企業透過虛擬私人網路 (VPN) 連線至雲端的資源，IaaS 廠商會提供一段企業專屬的 IP 範圍。這種運算方式的問題在於您仍舊與其他企業共用硬體資源與交換網路，彼此間僅藉由虛擬區域網路 (VLAN) 隔離。然而組態設定錯誤的情況時有所聞。根據最近一份研究顯示，澳洲有 31% 的資料外洩事件是「第三方廠商如雲端運算或 SaaS 供應商的錯誤所造成」。

迷思2) 您不需要一家以上的 IaaS 供應商

將所有雞蛋都放在同一個籃子，萬一籃子打翻了就很危險，雲端運算也一樣。雖然採用單一 IaaS 供應商較容易管理，但卻也形成單一故障點。仰賴單一 IaaS 供應商的風險是，萬一廠商遭到分散式阻斷服務 (Distributed Denial of Service，簡稱 DDOS) 攻擊，企業的營運就可能發生中斷，就像 Bitbucket 的例子。

另一個單一故障點 (SPOF) 的例子是 Rackspace，一輛卡車撞上了某個變電箱而導致 Rackspace 資料中心電力中斷，業務因而停擺。由於意外在所難免，因此，要防止單一故障點，就要擁有一家以上的 IaaS 供應商。

建立備援據點，是達成災難復原的主要方法之一，雲端運算的時代也一樣。企業或許不需要一個熱待命的失敗接管據點，但卻應該規劃並測試如何在需要的時候迅速將營運切換至第二家供應商。雖然像 Amazon「可用性區間」這類的作法可降低上述風險，但並不能完全消除單一故障點的可能性 (請參閱有關前述 Bitbucket 案例的文章)。

 作者：趨勢科技 軟體 架構工程師 Justin Foster

很久以前，Java 和其他程式語言就提供了跨平台的獨立性。應用程式開發者在大多數情況下不必管底層是何種作業系統，只需專注在應用程式功能的開發。雖然這樣可以不需針對特定作業系統或架構來撰寫程式，但底層的作業系統仍舊需要小心應付。

最近，平台服務化 (Platform as a Service，簡稱 PaaS) 的出現，將底層作業系統與基礎架構的管理變成了一種服務，不過，早期的 PaaS 方案需要客戶將應用程式與資料移轉至服務供應商，因此有受限於單一廠商的風險。

上個月，VMware 與 Salesforce.com 攜手合作，推出一種 Java Spring Framework 程式的全新執行方式，叫做 VMforce。VMforce 提供了一種執行 Java 企業應用程式的全新環境，由 Force.com 代管。這些應用程式採用與 vSphere 或 vCloud 程式相同的開發工具。

 這個 Q 版人物的台灣腔好傳神,如果找茂伯或伍百配音會更讚(點選圖片進入後-->往下拉)

 也可直接連線Youtube:

 http://www.trendmicro.com.tw/edm/Tracking.asp?id=1988&name=20100603 

目前在美國舊金山舉行的 Citrix Synergy 年會是這星期的重頭戲 ─ 宜人的氣候加上酷炫的 VDI (Virtual Desktop Infrastructure) 虛擬桌面基礎架構技術。我原本期待看到更多有關雲端和 XenServer 的最新發展，但會議的焦點卻全都是 VDI。

目前，許多企業都已經開始在試驗 VDI 虛擬桌面基礎架構，也希望解決 VDI 環境所帶來的安全挑戰，例如：提高虛擬客體作業系統密度的挑戰、伺服器定期掃瞄所造成的「風爆」、大量的 VDI 影像在每天早上 8 點同時啟動、病毒碼同時更新等等。

Citrix 表示將推出新的安全性程式介面 (API) 來解決這些問題，而 Citrix 技術長 Simon Crosby 也花了很長的篇幅在其部落格上解釋 Citrix 的規劃。

從趨勢科技的角度來看，開放的安全性 API 是一件好事。趨勢科技向來支持開放、合適的安全性 API，例如我們的 Deep Security 7.0 與 Core Protection for Virtual Machines 1.0 (簡稱 CPVM) 從 2009 年起就已支援 VMware 的 VMsafe API。一旦 Citrix 的 API 成形 (目前尚未發表)，趨勢科技必然也會採用。

趨勢科技的虛擬化產品原本就支援這類 API，因此要將我們現有的技術與 Citrix 即將推出的 API 整合應該不是難事 (當然，既然 Citrix 都還未發表，確切的情況還得等到發表之後才有定論)。

不過在虛擬化資訊安全方面，我倒是要在這裡老王賣瓜一下。Citrix Synergy 年會上有三家資訊安全廠商介紹了他們在 2010 年下半年所要發表的產品，但趨勢科技現在就已經擁有能夠保護實體、虛擬、私人雲端、公共雲端等各種伺服器的解決方案。此外，我們也正在研究未來的 VDI 安全技術，期望能夠解決 VDI 資源利用率方面的挑戰，相信這些優異的功能不久應該就會問世。

@原文來源：Citrix Synergy：VDI 安全性 API 終於有譜！(Citrix Synergy, VDI Security APIs, OMG!)

＠雲端運算相關文章：

*雲端運算趨勢*資訊安全 硬體裝置是否會被 SaaS 式資訊安全淘汰？

 *雲端運算趨勢* 把自己交給雲端-專訪知名IT風險管理業者CEO Qualys

*雲端運算＊中小企業是否應該將資料安全防護委 外？

[ 雲端運算 ]資料移轉至雲端平台的兩個安全問題

[ 雲 端運算 」 訪問 Wipro 公 司 Prasenjit Saha
 掌控雲端
迷失在雲端了嗎？雲端運算相關網址懶人包
* 雲 端運算安全 趨勢＊Google 攻 擊並非雲端攻擊
參加Gartner Data Center Conference 的 6 個 心得

更多相關文章，請按這裡

正妹加油團 送午茶卷

＠歡迎加入趨勢科技 Trend Micro 粉絲團   或找 崔嘻一起噗浪

發表者：John Maddison 趨勢科技資深副總

隨著雲端運算逐漸邁向主流，採用軟體服務化 (簡稱 SaaS) 模式的雲端式資訊安全，也恰巧搭上順風車乘勢而起。根據 Infonetics Research 的調查，該市場的 2009 年成長率達到 70%，同時，根據 IDC 2009 至 2013 年全球資訊安全服務預測 (Worldwide Security as a Service 2009-13 Forecast)，該市場今年將成長到 20 億美元的規模。去年 9 月，Oracle 的 Larry Ellison 還曾經對雲端運算嗤之以鼻。我想，除非觀念發生徹底轉變，否則傳統軟體廠商很難完全擁抱這項新模式。

這讓我想起大約五、六年前資訊安全硬體裝置 (appliance) 開始在市場上出現時。當時的防火牆已經普遍採用這種尺寸的硬體裝置，這種裝置後來也迅速取代既有的軟體式解決方案，成為電子郵件與網頁閘道的標準。現在，我相信當 SaaS 式的資訊安全服務成為主流時，硬體裝置也將面臨相同的命運。另一個可能影響硬體裝置的因素是應用程式皆逐漸虛擬化，資訊安全應用程式又如何能例外？我們已經看到客戶將閘道安全解決方案部署在虛擬化環境。

一個的新型態，也就是混用 SaaS 的模式，已經開始在企業客戶間流行。這是一種魚與熊掌兼得的最佳辦法：將應用程式的某些部分放在雲端，其他需要與資料庫密切整合或有是遵規要求的部分，則留在企業內部。企業再透過整合式網頁主控台來同時設定並管理這兩部分的政策。雲端的效益包括大規模部署與易用性，而企業內的解決方案則提供更多的本地端控管。

發表者：趨勢科技 Kristen Verdi

最近我和趨勢科技軟體服務化 (SaaS) 營運資深總監 Steve Kwan 面對面座談，討論他將趨勢科技資料中心移轉至雲端時所面臨的挑戰。Steve 在傳統與虛擬化資料中心方面都擁有豐富的經驗。最近他才剛協助 3Leaf Systems 這家專門開發動態資料中心特殊應用積體電路 (ASIC) 與軟體技術的公司制訂產品策略，在此之前，他也曾協助 Citrix 一些最大的 Web 2.0 客戶建立並拓展資料中心。

以下是 Steve 在雲端部署時所遭遇的三項最大挑戰，以及他如何克服這些挑戰… 

安全性

今日的雲端廠商無法完全保證客戶的資料在雲端內的安全，因此，這項責任就落在客戶身上。不僅如此，當客戶不再續用公共雲端資源時，客戶也無法確認其資料是否真正從雲端刪除；他們所得到的只有雲端廠商言語上的保證而已。最後，如果客戶透過不同的廠商來滿足其 SaaS、PaaS 與 IaaS 等需求，任何 SaaS 當中的安全弱點也可能波及 PaaS 和 IaaS 平台 (同樣地，PaaS 的弱點也可能波及 IaaS)。安全性是我們後來決定短期內先採用私人雲端的原因之一。

我非常認同趨勢科技將安全性視為助力而非阻力的看法。任何雲端安全解決方案的目標，都應該是協助 IT 順利完成工作。目前已開始有一些頗具潛力的雲端安全解決方案出現 (例如加密)。在此同時，雲端廠商本身也開始提供一些他們所謂的「私人公共雲端」或「專屬公共雲端」。在這種複合模式下，客戶可享有專屬的 VM，因此沒有不同客戶的 VM 彼此互相干擾的風險。此方式的成本比傳統公共雲端來得高，但是對於有安全性顧慮的客戶來說，這是值得的。正因如此，我們預料這種專門為企業而設計的複合式雲端未來應該會大量出現。

資料可攜性

我們有好幾 TB 的資料必須安全地移轉到雲端，因此需要大量的頻寬與資源。雖然這是一項挑戰，但是考慮到我們可從其他地方所獲得的效益，這仍然值得。不過，要是哪一天我們要將雲端資料移出，那麼移轉作業將完全取決於新雲端供應商的應用程式與基礎架構所採用的資料格式而定。由於今日的供應商無法提供任何資料互通性，因此，萬一我們決定更換廠商，我們將需要自行下載這些資料，然後再上傳至新供應商的雲端。同樣地，由於我們的資料量龐大，因此需要更多的頻寬與時間來處理。隨著越來越多企業移轉至雲端，我當然希望資料可攜性可以越來越好，並且有朝一日會有互通性標準出現。

發表者：趨勢科技全球策略與業務開發資深副總Wael

本篇是我與合作夥伴討論實體、虛擬與雲端環境所面臨挑戰的一系列專訪之二。三月初，趨勢科技與 Qualys 簽署了將 QualysGuard IT Security and Compliance Suite 與趨勢科技 Enterprise Security 遵規解決方案共同搭售的協議，目的是要讓全球客戶享有更完整的遵規解決方案。這項合作與趨勢科技「合身的安全性」(Security That Fits) 這項願景不謀而合，同時也滿足了安全與遵規的需求。

最近，我有機會訪問到 Qualys 的董事長兼執行長 Philippe Courtot。身為 Qualys 的執行長兼雲端安全聯盟 (Cloud Security Alliance) 的創始會員，Philippe 深知雲端運算的潛力與實際的挑戰。Qualys 在全球有數千家客戶仰賴其隨選 IT 安全風險與遵規管理解決方案，因此 Qualys 一直是移轉至雲端的企業先驅。以下是 Philippe 的專訪內容。

Wael：最近，雲端運算頗受矚目。您的看法如何？為何 Qualys 將未來放在雲端？

Philippe：今日已有不少企業採用雲端運算，同時也出現了各種專門提供高階服務以及營運關鍵應用程式平台的服務廠商。雲端運算的概念，簡單地說，就是整個龐大的運算資源 (包括硬體、營運關鍵資料與應用程式) 都放在企業之外的「雲端」，然後透過網頁瀏覽器輕鬆存取。這樣的作法有許多優點，包括：降低硬體、軟體與服務的資產費用，減少電力成本，還有讓員工可以利用各種裝置從遠端存取各式各樣的應用程式。

Qualys 很早就採用雲端運算來將軟體服務化 (Software-as-a-Service，簡稱 SaaS)，讓企業客戶享有可高度擴充的 IT 安全與遵規解決方案。經過這幾年的經驗證明，SaaS 的確很適合用來供應複雜的分散式應用程式，因為這種模式可讓客戶降低部署的複雜性，而且提供了無比的安全性與擴充能力，這一點是採用任何其他企業軟體解決方案難以望其項背之處，因為其他方案必須投資大量的硬體與軟體部署和維護成本。

Wael：雲端運算的好處不少。但是在跳入雲端之前，企業是否有哪些應該注意的地方，才能做出正確的決定？

Philippe：隨著企業逐漸將資料移到雲端，資訊安全應該是大多數 IT 人員的優先考量。要將營運關鍵資料儲存在協力廠商的伺服器上 (而且這些伺服器還出租給不只一家客戶)，如果沒有正確的規劃和執行，將會引發各種風險。事實上，資料安全是所有考慮採用雲端基礎架構的企業最重要的考量。