iPAS 資訊安全工程師 考試重點

雲端安全概論
主題分類
1
雲端運算基本概念
2
雲端部署與服務模型
4
雲端安全威脅與風險
6
雲端安全標準與合規
#CS01
★★★★
雲端運算 (Cloud Computing) 的關鍵特徵 (NIST 定義)
五大關鍵特徵
根據美國國家標準技術研究院 (National Institute of Standards and Technology, NIST) 的定義,雲端運算有五個關鍵特徵:
  • 隨需自助服務 (On-demand Self-service):使用者可以自行配置所需的運算資源,無需人工干預。
  • 廣泛的網路存取 (Broad Network Access):可以透過標準機制和各種裝置 (手機、筆電等) 存取雲端服務。
  • 資源池 (Resource Pooling):供應商的運算資源 (儲存、處理、記憶體、網路頻寬等) 匯集起來服務多個客戶,採用多租戶模型 (multi-tenant model)。
  • 快速彈性 (Rapid Elasticity):資源可以快速、彈性地擴展或縮減,通常是自動化的,讓使用者感覺資源是無限的。
  • 可量測的服務 (Measured Service):雲端系統會自動控制和優化資源使用,並根據使用的服務類型 (如儲存、處理、頻寬) 進行量測,對供應商和使用者都是透明的。
知識即服務 (Knowledge as a Service, KaaS) 不屬於 NIST 定義的雲端運算服務模型。
(資料來源:風險管理 p50, 111初級技術 Q43)
#CS02
★★★★
雲端運算部署模型
四種部署模型
  • 私有雲 (Private Cloud):雲端基礎設施專供單一組織使用,可由該組織或第三方管理,可在組織內部或外部部署。
  • 公有雲 (Public Cloud):雲端基礎設施開放給公眾或大型產業群體使用,由銷售雲端服務的組織擁有。
  • 社群雲 (Community Cloud):雲端基礎設施由具有共同考量 (例如使命、安全要求、政策) 的特定消費者社群共享
  • 混合雲 (Hybrid Cloud):由兩個或多個不同的雲端基礎設施 (私有、社群或公有) 組成,它們保持獨特實體,但透過標準化或專有技術連結在一起,實現資料和應用程式的可攜性。
自由雲 (Free Cloud) 不是標準的雲端部署模型分類。
(資料來源:112初級技術 Q44)
#CS03
★★★★
雲端運算服務模型
三種主要服務模型
  • 基礎設施即服務 (Infrastructure as a Service, IaaS):提供基本的運算資源,如處理、儲存、網路等。消費者可以部署和運行任意軟體,包括作業系統和應用程式,但不管理底層雲端基礎設施,只控制作業系統、儲存和部署的應用程式。
  • 平台即服務 (Platform as a Service, PaaS):提供部署客戶自創或取得的應用程式到雲端基礎設施的平台。消費者不管理底層基礎設施,但控制部署的應用程式和可能的應用程式託管環境配置。
  • 軟體即服務 (Software as a Service, SaaS):提供在雲端基礎設施上運行的供應商應用程式。消費者透過各種客戶端裝置 (如網頁瀏覽器) 存取應用程式。消費者不管理底層基礎設施,可能僅限於有限的使用者特定應用程式配置設定。
知識即服務 (Knowledge as a Service, KaaS) 不屬於標準的三種雲端服務模型。
(資料來源:風險管理 p50, 111初級技術 Q43)
#CS04
★★★
雲端安全相關國際標準
常見標準
  • ISO/IEC 27017雲端服務資訊安全控制措施的實務準則。
  • ISO/IEC 27018:公有雲中個人可識別資訊 (PII) 保護的實務準則 (關注個人隱私保護)。
  • ISO/IEC 27001:資訊安全管理系統 (ISMS) 的要求標準 (通用)。
  • ISO/IEC 27011:基於 ISO/IEC 27002電信組織資訊安全管理指導方針。
  • 雲端安全聯盟 (Cloud Security Alliance, CSA) STAR (Security, Trust, Assurance and Risk):雲端安全保證計畫。
ISO/IEC 27011 不特定針對雲端安全,而是針對電信業。
(資料來源:111初級技術 Q44, Q45)
#CS05
★★★
雲端運算的主要安全威脅 (CSA 報告)
CSA 十一大安全威脅 (2019)
雲端安全聯盟 (CSA) 定期發布雲端運算面臨的主要威脅報告。根據 2019 年的報告 (題目所指),主要的威脅包括(但不限於):
  • 資料外洩 (Data Breaches)
  • 設定錯誤和變更控制不足 (Misconfiguration and inadequate change control)
  • 缺乏雲端安全架構和策略 (Lack of cloud security architecture and strategy)
  • 驗證、憑證、存取和金鑰管理機制不足 (Insufficient identity, credential, access and key management)
  • 帳戶劫持 (Account Hijacking)
  • 內鬼威脅 (Insider Threat)
  • 不安全的介面與 API (Insecure Interfaces and APIs)
  • 控制平面薄弱 (Weak Control Plane)
  • 元結構和應用程式結構失效 (Metastructure and Applistructure Failures)
  • 有限的雲端使用可見性 (Limited Cloud Usage Visibility)
  • 濫用和惡意使用雲端服務 (Abuse and Nefarious Use of Cloud Services)
設定錯誤是其中一項重要威脅,但資料外洩通常被認為是後果最嚴重的威脅之一。
(資料來源:111初級技術 Q48)
#CS06
★★
確保雲端服務安全的考量
使用者/組織的責任
在採用雲端服務時,使用者或組織應考慮以下幾點以確保安全:
  • 了解共擔責任模型 (Shared Responsibility Model),釐清供應商與自身的安全責任。
  • 評估供應商的安全措施與合規性 (例如是否符合 ISO 27001, ISO 27017, SOC 2 等標準)。
  • 資料加密:確保傳輸中和靜態的資料都經過加密保護。
  • 身份與存取管理 (IAM):實施強健的身份驗證 (如 MFA) 與最小權限原則。
  • 安全設定:正確配置雲端服務,避免設定錯誤。
  • 監控與記錄:啟用日誌記錄並定期監控異常活動。
  • 合約審查:仔細審查服務等級協議 (SLA) 和合約中的安全條款。
不應只選擇單一雲端供應商,而應根據需求和風險評估選擇最合適的服務。實施稽核是確認雲端服務商是否符合安全要求的重要方法。
(資料來源:111初級管理 Q43)
#CS07
★★
雲端資料庫的安全考量
安全措施
在雲端建立資料庫時,需要考慮以下安全措施:
  • 資料加密對儲存的資料進行加密,保護資料機密性。
  • 存取控制設定適當的使用者角色和權限,限制資料存取。
  • 網路安全控制連線來源,例如使用防火牆規則或安全群組限制特定IP或網段的存取。
  • 稽核與監控:記錄資料庫的存取與操作日誌。
使用正規化 (Normalization) 主要是資料庫設計的原則,目的是減少資料冗餘和提高資料一致性,與資訊安全的直接關聯較小。
(資料來源:111初級技術 Q43)
沒有找到符合條件的重點。