針對雲端安全應有的安全考量，我們已於上期的岱凱e-Solution提出兩個思考面向，分別是：一、別輕易將自己不了解的交由委外，二、建立檢查表。此外，在與雲端服務提供者(Cloud Service Provider，簡稱CSP) 協同運作之前，企業亦可藉由目前逐漸成為風險管理主流的GRC評估服務 (Government, Risk & Compliance assessment)來了解本身的現況與未來改進、完備的方向。

完整的GRC 評估服務首先應包含以下幾個項目：

政府法規、風險和規章制度：其精神上需含有對於政策規範及電子化拓察、企業永續經營及災難復原，以及事件發生時的回應、告警及修復等機制。

明確的架構及維運方向：此部分應內含採用安全的架構、資訊生命週期管理 (Information Lifecycle Management, ILM)、可移植性與交互操作性、資料中心的維運、儲存及虛擬化。

身分識別與存取管理：透過金鑰管理、加密及強化應用程式安全。

在雲端草創初期，直接進入技術性的細節還為時尚早，亦有可能模糊了真正的問題焦點。Gartner在其2009年6月的「Assessing the security risks of Cloud computing」報告中指出，精明的客戶會開始對CSP詰問較艱難的問題，並且考慮先經由第三方來獲得整體安全評估，而不是從CSP那裡取得安全承諾。

徹底調查：對有興趣合作的CSP做一個廣泛且深入的調查，想當然耳，這是不能省略的起步。

合約簽定：因為雲端的特殊性，極有可能我們與A國的甲公司簽訂雲端服務合約，但資料卻處於B國，屆時管轄權將是一大問題。在法令規章遠遠落後科技發展的狀況下，簽訂完善的商業合同是保障雙方的不二法門，合約中並需考慮到預期和意外終止關係時，如何有秩序的歸還或安全的處置資訊資產。

電子化拓查：雲端世界的第一大悖論是，在合約上CSP必須保管資訊資產，但其客戶仍然對此資產具所有權，因此仍需承擔保護數據的法律責任（如個資法），並在法律事件發生時有義務提供電子證據。因此，企業與CSP必須明確規範彼此的責任，包括訴訟等活動舉行時的角色、電子舉證的提供，以及提供專家證詞。

其他標準：在目前雲端服務尚缺乏一個具體且具公信的標準之前，企業至少可以要求或選擇已具備SAS70及ISO27001認證的CSP來與其合作，至少能確認其已經由第三方認證核實該CSP已具備了的網路與資訊安全基準。

隱私權保護：這是很重要的一點。一般CSP不允許保有客戶的資訊資料，然事關到有可能發生的法律層面或法規稽核問題時，當適當的授權及規範CSP以何種形式保有該資料。

永續經營：在系統、網路、管理及人員配置皆不相同的企業資料中心與雲端服務間，如何有效的備份與備援，需要與CSP謹慎協商，來達成企業永續經營。

應用程式開發：企業在考量租用IAAS、PAAS或是SAAS時，須注意應用程式開發的安全，在這三種模式上，是完全不同的考量點，包含了軟體生命週期中開發、測試與上線各階段。

身分識別與管理：此項議題的關鍵在於CSP是否具有強壯的聯合身分識別管理與架構。於此，除了更嚴謹的身分識別機制外，SSO (single sign on) 將會是一個極大的應用，可運用的新技術包含SAML、WS-Federation，以及Liberty ID-FF。此外，未來極有可能出現的IAAS (Identity as a Service)是一個可以列入考慮範圍的，屬於第三方的認證管理服務。

在擁抱公眾雲端服務之前，建立企業私有的、小規模的雲端服務是最佳的資訊安全演練，可視為企業資訊安全機制與制度的總體檢。其中需要注意的是認證機制、資料遺失防護、高度可用性、以及應用程式安全這幾個方面的完備性與確實性。當私雲服務可被企業信任的時候，我們即可輕鬆的將其經驗與法則複製至公眾雲端服務上，不再有太多的疑慮及不確定的感覺。

企業的資料中心，內含與企業營運息息相關的資訊資產，如伺服器、儲存系統、應用程式(如CRM、SAP)，以及資訊資料(如員工及會員個資)等，因此安全焦點則會放在伺服器群(應用程式)與資料庫(有價資訊)。因此，我們將資料中心的安全考量歸納成四個主要面向：

防護、預防、監控與稽核
精細的資訊安全政策控制
可執行的管理與高可見度報表
高度可用性、高效能與高穩定性

這些需要考量的面向，坊間已有諸多相對應的產品或是解決方案，可符合不同安全等級的客戶要求，我們將於後面幾期逐一介紹一些資料中心的安全防護實例供大家參考。另外，企業可同時導入上述的GRC assessment服務，來完成更精確的風險控制與管理，並依據評估結果，逐步調整資訊安全政策或設備的完備性與精確度。