雲端當紅，不少企業在思考如何建立私有服務或租用公共服務時，對於有如浮雲一般存在的雲端安全問題，成為企業最關切的重點。無論是IAAS、PAAS或是SAAS，甚至是專為資訊安全所提供的SecAAS，這些結合現代資訊技術之大成，而展現出另一種運用方式的雲端委外服務，在資料可能外洩的疑慮下，總是讓人難以心安。

事實上，對於雲端服務的安全性，我們大可不必如此的戒慎恐懼。我們建議，企業可先從兩個面向著手，如此一來，面對雲端安全時便可更為從容，做好更周延的規劃。

我們相信絕大多數的雲端服務提供者(Cloud Service Provider，簡稱CSP)，不會因為某一客戶的需求而輕易變更其資訊安全架構及政策。因此，在評估及選擇CSP之前，企業應該具有良好的方法或是尋找第三方的協助，來評量目前的安全政策與安全機制是否健全，尤其是在存取控制與資料遺失防護這兩方面。

另外，必須深入了解CSP所提供的安全機制與其彈性限制，相信很多合格的CSP皆有完整的文件並提供專人解釋。再者，基於雲端服務無疆界、高彈性的特性，我們必須很遺憾的坦誠，目前尚無一個完整的法律或是標準，來規範CSP在基礎底線下所必須具備的資訊安全政策或機制。

因此，在清楚了解前述情況後，我們就可以比較容易的比對及尋找適合企業服務的CSP，並與之簽訂商業合同來規範及界定安全責任與義務。

建立一個完整的檢查表，將有助於企業了解自身的資訊安全政策與機制。下列為我們建議的檢查方向：

實體及邏輯網路的屏障
端點的存取限制及管理
非密碼認證機制
憑證的質量控制
密碼重設的流程與機制
即時的異常檢測
事件日誌的完整度與備份、分析

我們可以很清楚的觀察到，大部分需要注意的方向在於端點的存取控制與認證方法，存取前如何有效的識別，以及存取中、後的稽核與記錄，這將是使用雲端服務時安全把關的第一道、亦是最重要的防線。以下是一個雲端安全檢查表範例，供企業作為參考。*

在使用雲端服務的同時，企業必須考慮許多環節，包括雲端資料的儲存、資料的流向與經過的地方、資料如何被銷毀、以及誰可以有權限存取哪些資料等。此外，相較於傳統的IT資安服務，雲端需要的是一個更複雜、且更全面的風險管理方法。下期我們將進一步介紹風險管理相關的評估方法，協助企業更了解自身現況並做出改善，才能儘快跟上雲端發展的腳步。