雲端服務資訊安全問題堪憂
微軟於 2025/8/6 發布安全公告,揭露 Exchange Server 混合部署存在極高威脅性安全漏洞 CVE-2025-53786,攻擊者可完全無痕跡地從本地伺服器提升至雲端環境完整控制權限。美國 CISA 罕見發布緊急指令 ED 25-02,要求所有聯邦機構必須於 2025/8/11 前完成關鍵修補,警告未修補將導致「網域環境全面淪陷」的災難性後果。
全球汽車製造行銷大廠 Toyota 於 2023 年 5 月發現一台提供遠距服務的雲端伺服器洩漏超過 200 萬名客戶的個人和汽車資料長達 10 年之久,涉及 Toyota 於亞洲與大洋洲地區自 2016 年至 2023 年 5 月期間之資料;該資料原本只應開放 Toyota 的經銷商與服務廠取用,但卻因雲端伺服器配置錯誤而可公開存取。
受影響的都是日本的汽車和其客戶,包括註冊的電郵地址、汽車底盤和導航機器編號、汽車位置甚至行車記錄器的影片都變成公開狀態。同期亦有另一台配置錯誤的雲端伺服器洩露約 26 萬名日本 Toyota 客戶車內導航系統的較不敏感資料,包括車內導航裝置的裝置 ID、地圖圖資更新資訊、資料建立日期等;資料外洩時間長達 8 年之久。豐田表示,這起事件主要原因在於對員工的資料處理政策說明不夠徹底。該公司承諾將再強化員工教育,同時引入雲端配置審核系統,並建立持續監控雲環境配置的機制。
因此,如何在享受雲端效益的同時,確保資訊資產的安全性,已成為企業刻不容緩的課題。此時,國際標準化組織(ISO)與國際電工委員會(IEC)共同發布的 ISO/IEC 27017 雲端服務資訊安全控制實務守則,便成為企業在雲端服務資訊安全管理上的重要指引。
ISO/IEC 27017 的發展歷程
隨著雲端技術快速發展,國際間逐漸意識到需建立一套專門針對雲端環境的資訊安全管理指引。為此,ISO 27017 於 2015 年正式發布,作為 ISO 27002 的延伸,提供雲端環境特有的資訊安全控制措施。
ISO/IEC 27017 新版標準之基礎控制項與 ISO/IEC 27002 : 2022 資訊安全控制措施對齊,ISO/IEC 27017 目前已由 DIS 階段進入最終草案核准階段(FDIS),準備正式取代 2015 版。
ISO/IEC 27017 之目的與適用範圍
ISO 27001 是資訊安全管理系統(ISMS)的通用標準,ISO 27002 為資訊安全控制措施作業規範,但在雲端環境應用上仍存在特殊需求與不足之處。ISO 27017 為了彌補此空缺,提供了更完整的雲端服務資訊安全控制措施。
ISO/IEC 27017:2015 提供基於 ISO/IEC 27002 的額外雲端專用實作指引。該指引以 ISO/IEC 27002 為基礎,針對既有 37 項控制項提供延伸說明,並新增 7 項雲端專屬控制措施。
ISO 27017 適用於所有類型的雲端部署模型,包括公有雲、私有雲及混合雲。惟於私有雲環境中,仍須依組織內部權責分工與運作能力進行適當調整。
此外,ISO 27017 適用於所有提供或使用雲端服務的組織,包括:
● 雲端服務提供商(Cloud Service Providers, CSPs):例如提供 IaaS(基礎設施即服務)、PaaS(平台即服務)、SaaS(軟體即服務)的業者。透過驗證,證明其能夠有效管理雲端環境中的資訊安全。
● 雲端服務客戶(Cloud Service Customers, CSCs):使用雲端服務的企業或組織。透過要求其 CSP 具備 ISO 27017 驗證,確保自身資料在雲端環境中的安全性,並可作為選擇合作夥伴的重要依據。
ISO/IEC 27017 指引條文之重點
ISO/IEC 27017 指引的正文由 18 個章節的條款所組成,其中:
◆ 第 1 到第 3 章內容為適用範圍、規範性參考文獻及名詞定義的說明。
◆ 第 4 章說明雲端運算的具體概念,包含 CSP/CSC、供應鏈、風險管理。
◆ 第 5 到第 18 章條文主要對齊 ISO/IEC 27002 控制領域架構,包含資訊安全政策、人力資源安全、資產管理、存取控制、運作安全、通訊安全、系統獲取、開發及維護、供應商關係、資訊安全事故管理、持續營運及合規。
附錄 A 為雲端服務延伸控制措施集,特別針對共享角色與責任、客戶資產移除、多租戶環境使用區隔、管理者的操作安全、雲端服務監控及虛擬網路安全管理等提供控制措施與實作指引。
附錄 B 提供雲端運算相關資訊安全風險的參考文獻。
總結以上章節主要涵蓋了以下幾個方面:
● 雲端服務協議中的資訊安全議題:強調服務提供商與客戶之間在資訊安全責任劃分上的明確性,包括服務水準協定(SLA)中的資訊安全條款。
● 雲端服務中資產的保護:針對雲端環境下資料的分類、加密、備份與恢復等提出指引。
● 虛擬環境的安全:確保虛擬機器(VM)的隔離性、安全性配置以及虛擬化平台的安全管理。
● 雲端網路安全管理:包括虛擬網路的安全隔離、網路服務的保護以及遠端存取的控制。
● 客戶敏感資訊的刪除與銷毀:確保客戶資料在解除服務後能被安全刪除或銷毀。
● 雲端服務供應鏈管理:要求對第三方雲端服務供應商進行資訊安全評估與管理。
● 雲端環境的事件管理:定義雲端資訊安全事件的監控、通報、回應與復原機制。
獲得 ISO/IEC 27017 驗證的好處
企業透過 ISO 27017 驗證,可以獲得多方面的好處:
1. 提升客戶信任度:向客戶證明組織對雲端資訊安全的高度承諾,增強客戶對其服務的信心。
2. 降低資訊安全風險:透過導入 ISO 27017 的控制措施,能夠更全面地識別、評估與管理雲端環境中的資訊安全風險,減少安全事件的發生。
3. 符合法規要求:許多國家和地區都有針對雲端資訊安全的法規,ISO 27017 的實施有助於組織符合相關的法律法規要求。
4. 提升競爭力:在市場上,具備 ISO 27017 驗證的雲端服務提供商,更具備競爭優勢,有助於提升市場信任度並拓展潛在商機。
5. 優化內部管理:促進組織建立一套標準化、系統化的雲端資訊安全管理流程,提升內部運營效率。
6. 明確責任劃分:幫助雲端服務提供商與客戶更清晰地界定彼此在資訊安全方面的責任,避免爭議。
7. 持續改進資訊安全水平:ISO 27017 鼓勵組織建立持續改進的機制,不斷提升其雲端資訊安全管理水平。
在企業數位化過程中,與日常營運最緊密連動的雲端管理系統正是資訊安全防護的前線。獲得 ISO 27017 驗證,不僅是對組織雲端資訊安全管理能力的肯定,更是對客戶與合作夥伴的承諾。此外,亦能有效降低雲端環境中的資訊安全風險,並強化客戶與利害關係人對服務提供者之信任基礎,在市場競爭中脫穎而出。
參考資料:
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12116
https://www.twcert.org.tw/newepaper/cp-64-7236-fa891-3.html
https://www.ithome.com.tw/news/156874
https://icsda.org.tw/iso-iec-27017
https://learn.microsoft.com/zh-tw/compliance/regulatory/offering-iso-27017?source=recommendations
HOT 熱門文章
【財稅專欄】2022-10-26
【專欄文章】2025-04-23
【檢測專欄】2026-02-26
【法律專欄】2025-06-30
【法律專欄】2024-12-05