清流雙月刊 NO.29

15 No.29 SEP. 2020. MJIB 雲端安全聯盟（ Cloud Security Alliance, CSA ）針對雲端運算所面臨的資訊風險， 提出建立雲端運算安全架構的方法，包括 了雲端架構（ cloud architecture ）、雲端治 理（ governing in the cloud ）及雲端營運 （ operating in the cloud ）層面。 在雲端治理方面，主要關注在以下 5 項資訊安全領域的問題：企業治理與風險 管理、法律上的契約與電子證據、法規遵循 與稽核管理、資訊管理與資訊安全、相互運 作與可攜性。 而大多數使用者所關切的雲端營運在 技術面上的安全議題不外乎是：業務持續 與災害復原、資料中心營運、資安事件應 變、應用程式安全、加密與金鑰管理、權限 識別與存取管理、虛擬化、安全即服務。 資料放到雲端是否安全？ 雲端運算的概念已提出多年，相關的 技術、服務均已趨成熟，然而，雲端運算 仍是架構在既有的資訊科技（ information technology, IT ）之上，因此，傳統資訊系統 所面臨的資訊安全議題，在雲端依然會出現。 企業導入雲端運算之後，在資訊管理 上面對的問題，將會從企業內部延伸到利 害關係人，資料放上雲端的目的在共享，因 此，存取的使用者變多，所衍生的資訊安全 問題也變多。 圖 1 　雲端架構 （圖表內容：作者提供） 廣泛網路存取 快速彈性架構 可量測的服務 隨選自助服務 軟體架構服務（ SaaS ） 平台架構服務（ PaaS ） 基礎架構服務（ IaaS ） 共享資源池 公有雲 私有雲 混合雲 社群雲 後疫情時代之闇黑勢力入侵