雲端時代政府資料面臨新挑戰

雲端時代，政府部門對於其所維護的資料要如何「走入」雲端，面臨了前所未有的新挑戰；一方面要具備各式應用程式的雲端存取，另一方面又要做好資料安全的管控，特別是必需符合法規遵循的要求。為此，Blue Coat 美國聯邦系統工程總監 David Rubal 特別提供了建議概要，以協助政府部門解決相關的法規遵循障礙。

David Rubal 表示，許多政府部門都被委以保管機密資料，而且必須處理與判讀這些資料以服務百姓。無論這些資料是否牽涉到人民或政府人員的「個人身份資訊」（Personally Identifiable Information，PII），或是受某些法規要求的機密資訊，只要是受監督管理的資料，都必須遵守嚴格的政策規範，以確保資訊受到足夠的安全保護。

但另一方面，政府機構在樽節成本、系統整併及雲端服務控管的要求下，越來越多資料面臨走進雲端的壓力。例如美國聯邦政府以「聯邦雲端運算策略」（Federal Cloud Computing Strategy）規定聯邦政府之間必需採用雲端項目，但是每當有處理這些資料的程序時，卻又只有少數公司具備足夠的安全技術認證可以提供 FedRAMP 認證的解決方案。結果是，許多政府機關發現，他們無法使用一些真正吸引他們的領導級 SaaS 應用，也就無法確認這些應用能夠為自己機關所管轄的資料提供符合現行資料安全的法規要求。如果把資料交給提供公有雲服務的第三方業者，如何處理與儲存資料都是一個非常艱鉅的挑戰，往往又會衍生出其他新的法規遵循與風險管理問題。

這些問題包括：

• 法規遵循（Compliance）：又稱「合規性」。有些機關所處理的資訊可能要求必需符合某些法規的要求與控制。例如，想要存取美國FBI資料的部門就必需符合「刑事司法資訊服務」（Criminal Justice Information Services，CJIS）資料安全要求。如果想要存取某些美國國防部武器系統的資料必需符合國務院的 ITAR 及商務部的 EAR 規定。許多機關可能需要存取個人醫療資訊（Personal Healthcare Information，PHI），那麼就必需要符合 HIPAA 的要求。
• 支付卡產業資料安全標準（PCI DSS）：許多機構維護支付卡及民眾個人與私人企業的詳細金融資料，如帳號、路由號碼（routing numbers）等。這些資料所存放的地方，包括雲端系統，都必需受到保護。
• 敏感的非機密資訊保護（SBU Protection）：一些機構所處理的是屬於「敏感的非機密資訊」（Sensitive But Unclassified，SBU）。關於如何在類似公有雲網路環境處理這些資料，美國國家標準暨技術局（National Institute of Standards and Technology，NIST）就提出具體的處理規範。

排除採用雲端的障礙

以聯邦政府為例，在考慮是否採用雲端時所面對的問題相當特別。公有雲 SaaS 在資料控管上的常見缺失，就是一個重要問題。雲端存取安全代理（Cloud Access Security Broker，CASB）解決方案讓政府機關為雲端 Apps 提供資料存取的同時，還能維護及控管機密資料、監管資訊及人民個人身份訊息。

對於考慮選擇雲端存取安全閘道解決方案的政府機構來說，以下是「一定要有」的評估標準：

• 完整的雲端資料控制：任何資料都不得在機關單位網路之外以「明碼」方式分享，資料的加密必需基於使用者定義的「符記化」（tokenization）或加密選項達到「欄位級」（field-level）的控管等級，讓相關的政府部門能夠確保對資料安全的符號庫（token vault）及加密金鑰有完整的管控能力。
• 使用 FIPS 140-2 加密並保有雲端功能：為了保有雲端應用的功能，FIPS 140-2 合規性模組以及相關的認證演算法在加密機密資料及保有關鍵雲端功能都是必要的。
• 經審核的第三方符記化解決方案：符記化技術對於資料的常駐（residency）及資料的管轄要求特別有用，但必須透過相關業界標準稽核與認證。
• 控管行動裝置存取的雲端資料：機密資料還在部署的機構內時就要欄截下來，並以隨機的符記或加密值（encrypted value）來取代，將其轉譯（render）為無意義的形式呈現，讓外部個人或機構能夠在存取資料的同時，也能同步儲存在雲端或行動裝置做程序處理。