金融業:【上雲後】委外查核4大重點 持續管控上雲後的資料風險:https://www.managertoday.com.tw/articles/view/64366
重點1》》事先註明在委外合約裡
重點2》》不能將現成資料當做查核報告
重點3》》參考國際標準設計查核內容
重點4》》攜手金控子公司進行聯合查核
更多金融上雲的資訊,歡迎下載微軟提供的「法規遵循檢核表」,詳列各項金融業者必須監管的問題,及因應該問題微軟所能提供的協助,俾使金融機構能夠更加完善上雲過程。
企業雲端環境之風險管理及因應對策:https://www2.deloitte.com/tw/tc/pages/risk/articles/cloud-risk-management.html
第一、企業邊界改變、風險意識與法規遵循
雲端環境會因企業將資料中心外包,使用雲端運算處理大量資料,產生龐大跨國資料傳輸,進而改變企業邊界之定義。尤其是以前無跨國交易之機會及經驗之企業,將對企業環境產生巨大改變。因此,建議資安人員應注意相關政策、法律、科技及業界標準,以規劃完整的雲端運算導入計劃。如:雲端服務供應商是否能提供經第三方檢驗的SOC 1、SOC 2、SOC 3獨立報告(表一),針對業者之控制環境加以描述,並委由符合 AICPA 信託服務安全性、可用性和機密性原則及條件的外部稽核進行查核,將會是企業選擇供應商時的一個評估要點。
第二、資料保護
在雲端服務中,需要確保機敏資料的安全,將資料加密,增強機密性,因此企業需知道哪些資料要加密,以及如何進行加密。選擇雲端服務之供應商時,其中一個重要的評估項目即為了解業者採取之加密方式。通常資料保密的方式有兩種,一種是將資料和其加密金鑰存放於不同位置,另一種則是企業將資料自行加密後再存放至公有雲服務中,此兩種作法均可有效降低資安風險。而透過大數據分析和數據流量監控找出隱藏在正常事件下的異常行為,提前發現系統弱點並及早修補,也為加強資安機制的一大關鍵。
第三、程式、軟體安全
當企業使用之雲端運算服務為IaaS(基礎設施即服務)和PaaS(平台即服務)時,大部分應用程式及軟體安全由企業自行負責,並依照SDL(安全開發流程)執行。若採用SaaS(軟體即服務),廠商需提供SDL執行之證明文件,或第三方定期執行檢驗程式碼及程式資安測試等安全檢查的結果文件,並確定發生資安事件後之責任歸屬為何。另一方面,企業也需確保舊有程式無安全漏洞,否則移轉到雲端後將面臨更多攻擊模式,大幅增加被攻擊的風險。
第四、事件應變
企業導入雲端運算服務,將資料放入公有雲後,當發生資安事件而需要處理應變時,將會需要雲端運算服務供應商提供人力配合搜查。因此,企業必須有相關的事件應變計畫,將計畫之要求明詳於採購合約中,以確保服務供應商能確實配合執行。此外,因雲端運算服務透過資源共享來達到壓低成本及價格的目標,一台設備上有多個虛擬主機及多個客戶是很常見的情形,因此,當某一個客戶之資料發生異常而影響到同設備上其他客戶時,將有高風險引發資安問題,因此企業和供應商需討論及擬定妥善的處理方式和範圍。
稽核經驗參考:AWS稽核項目:
1. Account帳號權限管理
(1) IM角色(IAM)
(A) Root account
(a) AWS建議Root權限應開啟多因子驗證,如手機token
2. 各項服務確認
(1) 區域資源VPC>子網路,確認有沒有在AWS服務上切網段
(2) NAT閘道
(3) 對等連線
(4) 網際網路閘道(對外)
(5) 網際ACL policy
3. 網路security group
(1) EC2的security group可以設policy,本次是提SQL的專用port權限開太大,建議透過限定IP去降低風險或避免被try
4. 監控主機
(1) AWS resource
(2) Cloud watch >AWS監控用,有log,可以看log insight,也有Dash board
(A) 若為人工監控,多久看一次
(B) 自動化監控者,是否設定告警
(C) Dash board可以追蹤EC2,此部分可以訂指標,看error count或log
(3) Cloud trail>紀錄管理者帳戶活動,可以呈現歷史事件或以Dash board瀏覽。
5. 備份
(1) AWS Backup>受保護的資源
(2) Default 還原點
(3) Elastic Block store>確認Snapshot
(4) 需確認DB備份是否有保存至地端,或有多雲端機房留存,避免單一機房無誤crush,無法回復
6. 測試環境
(1) 是否在另一個環境,注意不要在同一台主機
(2) 設定新一台可以在security group進行權限設定