圖片來源: 

周峻佑攝

隨著雲端應用越來越普及,企業對於依賴程度也隨之增高,一旦服務出現故障,就會產生重大影響,因此,雲端安全聯盟(Cloud Security Alliance)亞太區副總裁Hing-Yan LEE認為,政府應該規範相關服務的緊急應變措施,讓提供服務的CSP業者能夠有跡可循,他在HITCON Pacific 2018大會上,藉由推動新加坡政府訂立雲端服務中斷事故因應指導原則(Cloud Outage Incident Response Guidelines,COIR)背景為題,進行經驗分享。

Hing-Yan LEE表示,因為雲端服務運作出現異常,導致採用的企業受到影響,最早可追溯到2012年6月時,日本雅虎旗下伺服器租用服務的中斷事件,共有5,698間企業存放在該服務的資料,因此損毀而無法復原。受害者不乏日本當地知名的企業與團體,包含了日本新聞協會、東京桌球聯盟、長野電氣鐵路公司,以及小林製藥廠等,而許多的中小企業因缺乏備份機制,致使他們建置其中的電子商務服務網站,無法繼續運作。

後來在2015年、2017年,全球也出現了許多大型雲端服務營運異常的事件,其中包含了Amazon、Google、IBM,以及微軟等業者。不過相較於前述的日本雅虎案例,普遍中斷的時間從好幾天,縮短到以小時為單位,但是相同的是,這些業者往往只有告知服務出現異常,暫時停止運作,然而實際的情況為何,使用者卻無從得知。

為了解決這樣的問題,Hing-Yan LEE說,其實已有國家首開先例,訂立相關的法律,那就是南韓的雲端運算開發與用戶保護法案(Cloud Computing Development and User Protection Act),該法案於2015年9月底正式施行,要求雲端服務業者在異常事件發生時,必須公開揭露相關細節。

Hing-Yan LEE表示,他們藉由上述中斷運作的案例,以及南韓立法的經驗,遊說新加坡政府。而新加坡當局也在2016年2月,由資訊通信發展局(Infocomm Development Authority)發表了相關事件的因應框架,也就是Cloud Outage Incident Response Guidelines,而到了今年4月,該單位再度更新了這個框架的內容。

這份指南的內容,著重於雲端服務的災害復原(DR)與因應措施,並且依據服務中斷影響的程度與層級,歸納出4個類別,而判斷災害類別的依據,則有16項指標,像是針對服務停止時,業者通知用戶的速度、頻率,以及公告的管道等,都是造成用戶可能能否正常維運的評估項目。

在Cloud Outage Incident Response指南的架構中,將雲端服務中斷造成的災害分成4種類別,分別是最嚴重的系統層級(A類)、影響企業整體營運(B類)、影響企業維運(C類),以及低度影響(D類)等。A類與B類都是屬於嚴重的情況,而後兩者則是影響較為輕微。

面臨雲端服務中斷事件的因應,雖然我國尚未具備相關的法規可供業者遵循,不過,Hing-Yan LEE表示,目前國際上已有一些機構推出的指南,包含了雲端安全聯盟自己推出的安全指南4.0版第9章(Domain 9)、美國國家標準暨技術研究院(NIST)的電腦安全事件掌控指南,以及歐洲網路與資訊安全局(ENISA)的雲端運算優勢、風險,與資訊安全建議事項等。再者,ISO 27035標準的第1與第2部分,也與這類事件的因應有關。


Advertisement

更多 iThome相關內容