雲端安全顧慮：無端的猜疑？

This blog is adapted from the original post here. 

企業組織採納雲端技術可以帶來許多不可否認的效益，包括成本節省、商務敏捷性、以及讓使用多種運算裝置的員工們達到更好的生產力。根據IDC所做的第五個年度終端使用者調查，亞太區資訊長(CIO)在2013年增加50%的雲端服務與技術支出，達到75億美元。再者，他們對於要使用何種類型的雲端模式以及要在雲端之上執行何種工作負荷，也都有必較特定的選擇。IDC在最近的Vendor Spotlight報告中指出，此一轉移趨勢提高了複雜化的層級，特別是在應用管理方面，包括應用該駐留在什麼地方以及管理人員是否有能力可以確保維護適當的安全性和網路成長。

儘管有著那麼多正面效益，但關鍵在於有一項致命且牽動所有層面的負面因素，阻礙企業朝雲端轉移 - 那就是被全球和亞洲企業組織視為最高優先的「安全性」！

大多數人們認為雲端比不上傳統資料中心安全，或者認為現在欠缺可以解決一些特定安全顧慮例如資料外洩的完美方案。這並非真實。真正讓終端使用者感到不安的原因在於喪失管控能力。

儘管人們對於轉移到雲端運算有所遲疑，但事實上它擁有比傳統資料中心更多層的安全性。

雲端服務供應商有著強大的動機促使他們提供最佳安全性，因為這攸關他們本身的商務和聲譽。他們通常會投資特定技術並部署專門的人員，確保能以最強的能力來降低安全威脅。再者，現在有越來越多雲端安全性與資料保護法的訂定，因此當發生不可預期的攻擊時有助於舒緩企業組織的不安。

然而，一旦CIO選擇將應用程式從他們的資料中心轉移到雲端，就等於將他們整體資料保護的部分管控權讓渡出去。正因為如此，除了選擇一家優良的雲端服務供應商以建立信心之外，CIO需要在他們可以著力的地方如應用層強化安全性。

面對新典範的行動化、雲端與混合網路，企業如何解決網路、應用與資料存取問題？如此眾多行動化但僅受到公司有限度管控的新裝置，加上散佈在網路、各種雲端與SaaS環境的應用與資料，企業該如何確保快速、適當、驗證與授權的存取？

身分識別只是管控存取的先頭部隊。使用者請求存取的當下情境，以及他們提出存取請求時所處的環境，同樣都是確保安全存取的要素。若能夠適當的管控「何人」、「何事」、「何時」、「何地」、「為何」與「如何」，就可以確保、強化和區分使用者對網路、雲端、應用與資料的安全存取，而不論那些資源駐留在何處或如何組成。

確保有效率且安全的在網路、雲端、應用程式和資料之間分享使用者身分識別，(不論他們身在何處，是現在的一項必要工作。然而，這有許多挑戰，例如身分識別孤島、雲端與SaaS應用和資料的企業內部(on-premise)身分識別、以及使用者密碼疲勞(導致較弱的使用者名稱與密碼)等都很容易被破解。解決之道就是要構築一個身分識別橋梁。聯合識別(federation)透過業界標準例如SAML，在網路、雲端、應用程式之間建立一個信任的鏈結，不再需要繁雜的身分識別目錄複製與插入。身分識別與存取由企業管控，並且在企業、雲端與SaaS服務供應商之間進行認證。企業能夠集中化的管控使用者認證與終止。聯合識別提供了存取能見度與管控能力。

F5利用安全性判斷提示標記語言(Security Assertion Markup Language; SAML)在身分識別提供者與服務提供者之間交換認證與授權資料，協助企業組織在應用層強化安全性與存取政策。其後，他們就可以一致的維護政策執行並確保使用者能夠存取關鍵的服務，跨越應用程式與環境，讓雲端部署更為簡單且擁有更安全的本質。