公告資訊

未經授權,禁止轉載網站文章與內容。如有需要可以跟我聯絡,謝謝!!




2012年1月14日 星期六

資料放雲端,安全嗎?

一直以來,很多朋友與合作夥伴,一聽到雲端,就會有這樣的問題。我想先請教各位幾個問題:

如果你有十萬塊,請問你會放家裡還是放銀行?

如果你有一百萬,請問你會放家裡還是放銀行?

如果你有一千萬,請問你會放家裡還是放銀行?

這幾個問題,對於大部分的人來說,答案都是"放銀行"。為什麼錢不放家裡,要放到別人開的銀行呢? 難道不怕錢被銀行的人偷走嗎? 事實上,你會放心把錢放銀行的原因,就是因為銀行有一定的安全稽核機制,因此你把錢放銀行被監守自盜的機會,絕對比你把錢放家裡被小偷偷走的機會來得低很多

公司裡的資料何嘗不是如此? 當你把資料放在公司中,可能會因為系統外包,而被外包的開發人員下載複製帶走;也可能因為開發人員的疏失,而造成系統的漏洞被盜走;更可能因為資料庫管理員沒有落實備份備援計劃,當機房或是伺服器發生問題時,導致重要資料的遺失...

所以資料放雲端安不安全,其實只是一個觀念上的問題。對於企業來說,資訊安全的問題,有七八成是屬於管理面的責任,剩下的才是跟程式實作有關係;也因為這樣,所以才會有ISO 27001的資安標準(http://www.bsigroup.tw/zh-tw/Training/Course-areas/Information-Security/)。如果你的公司沒有通過ISO 27001,如果你的外包廠商沒有通過ISO 27001的標準,那我可以告訴你,你的資料放在公司,絕對不會比放在雲端上面來的安全。至少在機房的管理上,Windows Azure雲端平台通過了ISO 27001的資安標準;而且當作業系統有重要安全更新的時候,還會自動提供安裝最新安全更新的作業系統版本,避免人為因素所造成的安全性漏洞。

當然,也會有些人用剛通過的個資法,質疑雲端的安全性,其實這並沒有太大的關連。就如同剛剛所提到的,系統的安全性其實有大部分都跟管理有關,如果公司整體的資安管理沒做好,資料放哪裡都是不會安全的。就好比你中了大樂透第一特獎,如果你全家人都不跟外人說,錢放家裡也是可行(放得下的話);但是如果你家人大肆張揚的話,就算你把錢存在銀行,歹徒也可以綁架你去拿這些錢,不是嗎?

從另外一方面來看,也就是因為一般公司的資料中心或是機房管理人員,並非具有專業的資安背景,因此若是將資料存放在管理更好、安全性更高的Windows Azure雲端平台當中,反而更安全! 當然,若是再搭配系統本身實作資料加密,與使用者驗證、授權、稽核等機制,就可以再提升系統整體的安全性!!

面對資訊安全,請記得正確的觀念:資訊安全是架構在良好的資安管理上的! 如果你們沒有制定安全性的政策、程式與架構沒有review、員工沒有資安的觀念與訓練、沒有定期做資訊安全稽核、沒有做資安的弱點分析、沒有有效的掌控重要資料的存取權限、沒有即時監控系統執行的狀況.... 等等,只要其中任何一個資安管理的環節出錯,都會是資安的漏洞!

資料放哪裡,老實說關係其實並沒這麼大。

2012年1月10日 星期二

把Windows Azure 搬回家?

常常有些夥伴會問我,能不能把Windows Azure 裝在公司的機房裡 ?

其實現階端,很多朋友對於雲端平台的名詞都比較有概念了,但是有些觀念的部分可能是因為沒有實際運用過,所以比較不清楚一點,讓我們用最簡單的方式來說明Windows Azure 雲端平台的概念。

首先,先從公有雲和私有雲開始好了。民以食為天,我們就用開餐廳來舉例:假設是做小吃攤的話,你可以用自家的廚房,然後門口擺幾張桌子椅子,就開始做生意;但若是需要開餐聽賺大錢的話,就必須要有正式的店面,才可以容納川流不息的客戶,又不會影響自家人的三餐。

而餐聽裡有廚房,有桌子椅子;你家裡也一樣有廚房,有桌子有椅子,但是絕對不是做生意用的! 除了這些設施之外,開餐館還需要有裝潢、招牌、會計、廚師等等這些你家裡不需要有的成員。所以我們可以說,開餐廳的一些基本設施我們家裡原本就有,我們在家裡就可以利用這些既有的設施,研發新的菜色,然後再請餐廳的廚師幫我們利用這些新菜色賺錢。

 

因此簡單的說,私有雲就是你家,公有雲就像是餐聽的店面。在Windows Azure雲端平台上面,有Web Role、Worker Role和SQL Azure等等服務,而你利用企業內既有的IIS、Windows Service與 SQL Server就可以模擬出來這樣的環境,所以其實並不需要在公司裡自己再架一套起來。而且,除了這些基礎建設之外,Windows Azure雲端平台更重要的價值,就是減輕應用程式上線所需要的IT 營運成本,這更是沒辦法在公司中模擬的。

“We wanted a platform-as-a-service solution, not just cloud infrastructure” (http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?CaseStudyID=4000011637)

很多人都會有錯誤的觀念,以為使用虛擬化技術所建構的環境,就是雲端平台(platform),所以以為自己造一個雲端的環境很容易。事實上,虛擬化技術只是雲端基礎建設(infrastructure) 的一種技術,就好像你今天要開餐廳,透過虛擬化技術,你可以得到的是一個店面的毛胚屋,裡面的水電、瓦斯、裝潢、隔間等,都必須要你自己處理。換句話說,假使你有一手好菜色,在開始開張賺錢之前,你還必須要花很多的心力,才能夠開張營業。

而Windows Azure提供的是雲端平台,就好像是裝潢好的店面,你只要把材料搬進店哩,餐廳馬上就可以開張作生意;甚至還提供了中央廚房,如果生意好的話,店面可以隨時擴張,也不會斷炊…

而開餐廳一定需要買店面嗎? 一般說來,如果是好地段的店面的話,買下來當作一種投資,是有增值的可能;但是以機房設備這種東西來說的話,我入行到現在,從來沒聽說有會隨著時間增值的,只有不斷的折舊,不斷的淘汰而已。因此,以租賃代替購買,還有隨著使用量隨時調整租用資源的數量,才是真正可以有效掌握成本的一種做法。

所以,不要再去想怎樣把Windows Azure搬到公司裡了,趕快想一些新菜色,搬到Windows Azure雲端平台開張做生意吧!!!

2012年1月1日 星期日

從Windows Azure 雲端平台談Web應用程式執行環境的安全性

對於企業或是雲端服務提供廠商來說,如何讓對外營運的網站或是Web應用程式有一個安全又穩定的執行環境,一直是一個很重要的課題。然而對於大部分的公司來說,因為內部缺乏專業的資訊安全服務團隊的關係,因此往往是等到遭受到惡意的攻擊導致服務停止之後,才開始去修補漏洞;而就算是作業系統有推出修補的程式,IT 人員也有可能因為事情太多忘了馬上安裝修補程式,而導致系統出現了安全的空窗期...

除了作業系統可能會有安全性的漏洞之外,惡意的使用者也可能從網路發動阻絕攻擊(DDOS)來癱瘓你的網站。因此要讓一個Web 應用程式可以對外營運,除了開發之外,有很多的成本都必須花在IT 設備以及網路安全的監控上。重點是 -- 網路上的攻擊手法日新月異,這些投資還是無法保證你擁有一個真正安全的執行環境...

Windows Azure 雲端平台本身是屬於PaaS的一種,而且通過了ISO 27001的資訊安全認證,因此當你把Web 應用程式部署到Windows Azure 雲端平台之後,剛剛前面描述的這些傳統IT 安全性部分的需求,就由Windows Azure 雲端平台的維運團隊來幫你處理了!! 我們可以從最近的一次安全性更新,來看一下Windows Azure如何幫你維護Web應用程式執行環境的安全性:

首先,我們可以先從Scott的Blog,了解這次安全性重要更新 (MS11-110)的內容:http://weblogs.asp.net/scottgu/archive/2011/12/28/asp-net-security-update-shipping-thursday-dec-29th.aspx

而當重要安全性更新發布之際,Windows Azure 的營運團隊也會寄給每個Windows Azure用戶一封標題為:"

IMPORTANT NOTICE: Windows Azure updated to address Security Bulletin MS11-100

" 的信,內容如下:

image

這一封信就是告訴每一位Windows Azure 雲端平台的用戶,這一個作業系統的重要安全性更新,將會自動套用在用戶所租用的作業系統上。換句話說,只要你將Web 應用程式部署到Windows Azure 雲端平台之後,執行環境的作業系統就會自動地保持在最安全的執行狀態,即便是沒有IT 人員的軟體公司,也可以很低廉的成本就可以有高安全性的Web 應用程式執行環境!!

當然,若是你擔心自動套用作業系統安全性的更新可能會導致你的程式部分功能發生問題,你也可以透過下面的方式,測試之後再手動地將執行環境上到最新的版本:

1. 在Windows Azure管理工具當中,首先在託管服務中,建立一個新的預備部屬環境:

image

2. 設定這次部署的名稱,並且重新上載生產(production)環境所使用的封裝以及設定檔:

image

3. 完成之後,選取上方選單的"設定作業系統"按鈕:

image

4. 從作業系統清單中,根據Windows Azure營運團隊所發布的訊息,選取這次更新之後的作業系統版本(WA-GUEST-OS-2.8_201109-03):

image

Windows Azure雲端平台中,目前有兩種作業系統:Windows Azure Guest OS 1.x的是Windows Server 2008,而Windows Azure Guest OS 2.x的則是Windows Server 2008 R2. 你可以根據需要選擇需要的作業系統,而不需要另外再付授權的費用

5. 完成之後,你就可以利用剛剛建立的預備部署環境,測試安裝了安全性更新之後,你的應用程式是否還是可以正常地執行。

6. 接下來,只需要按下上方選單的"交換VIP"按鈕:

image

然後下面的視窗會告訴你,接下來生產部屬與預備部署的VIP將會交換。換句話說,測試完成的預備部署環境,就會變成生產環境了!!

image

7. 最後,別忘了將原本的生產環境刪除,否則是會繼續收費的喔!!

在傳統的IT 的生產環境當中,若是要上安全性的更新,除了可能需要重新建置預備部署環境測試之外,當正式要安裝安全性更新時,往往也需要將生產環境離線,安裝完更新之後再測試,才可以重新上線。這樣的作法不但需要很多IT 的成本,也可能會造成系統的down-time。而透過Windows Azure雲端平台自動化管理的機制,就算是你的生產環境中有100個Web Role的instance,我們也可以很輕鬆的測試系統在上了安全性更新之後的狀態,並且在沒有down-time的環境之下,輕鬆地將系統重新上線在最安全的環境之中!!

最新回應

Loading...

即時與版主對話


(若狀態顯示"忙碌"時,我可能無法馬上回應。你可以留下Email,我會盡快跟你聯絡,謝謝喔!!)