跳到主要內容
English 訂閱電子報

台灣集中保管結算所

集保電子雙月刊
第275期
11308月出刊
選單
:::

探討雲端環境之資安稽核暨風險控管

內部查核室 江鈺聲

近年來雲端運算、儲存和應用程式等服務蓬勃發展且技術日益成熟,為使金融機構提升數位轉型及服務韌性,金管會於112年8月修正發布「金融機構作業委託他人處理內部作業制度及程序辦法」,內容主要係調整金融業上雲規範,包含金融機構要以風險為基礎之作業委外管理架構、委外申請流程及文件、跨境委外及雲端委外作業應向主管機關申請之範圍。

集保結算所為金融領域的重要後台,除了建立異地備援及備份機制,針對各類型情境執行營運持續演練,更持續強化極端情境之應變能力,以降低造成服務中斷之可能性。鑒於服務範圍朝向多元業務發展,不僅涵蓋股票保管業務及期貨、債券交割,更從B2B跨入B2B2C模式,因此能否妥善保全上述業務之重要核心資料,攸關社會大眾於金融機構之財產權,未來如何運用雲端服務,強化備份及復原機制,亦為數位轉型一大課題。

內部查核室張總稽核紫薇受邀參與今年Google資安論壇「Google Cloud Security Forum」,與聯發科技劉稽核長錫麟之爐邊對談,筆者將其延伸探討以資安稽核觀點,對於雲端環境之風險控管。

圖片

圖:「2024 Google Cloud Security Forum」會議照片,(左起為Google Cloud Security區域客戶總監王正大、聯發科技稽核長劉錫麟、華碩電腦資安長金慶柏、臺灣集中保管結算所 總稽核張紫薇、門戶科技技術長張皓) (資料來源:Google Cloud)

一、資訊安全到底是誰說的才算數

今年參與該雲端資安論壇的各界翹楚,除了以管理及技術的角度來談論資訊安全之外,更從稽核的觀點,深究企業該如何掌握風險與效率之間的平衡點。國際內部稽核協會所提出的三道模型即可看出端倪,意味著資訊安全不是一個人、一個單位能決定的事情,也因此不論是資訊長、技術長、資安長、…亦或者是稽核長,都是需要與其他單位合作,發揮所有的角色應有的功能、各司其職,企業才能有效掌握新興科技所產生的資安風險,進而形塑良好的資安文化。站在稽核單位的立場,非常贊同企業使用雲端服務及相關應用,不僅讓企業可以更有彈性且靈活的調整軟、硬體資源之設置與部署,更能讓企業專注於自身所擅長的事項,而關鍵是在於上雲前、使用中、及下雲後,因應不同的階段,分別有需要特別留意的事項,如:是否執行完整評估其風險與影響、是否建立審查與監控機制、及是否規劃緊急應變措施等。

稽核人員規劃查核作業時,首先應評估企業使用雲端服務之範圍,如:以系統維運的角度來看,是否涵蓋核心或重要系統;以隱私保護的層面來看,是否涉及客戶個人資料,接著從識別上述使用過程中可能產生之風險,及評估其控管措施是否得宜。稽核項目則以資訊安全及隱私保護等相關法令法規作為查核基本的要求,並參酌業界相關指引或規範。同時稽核人員應增加對於實務作業的了解,以深化法令法規之內容,進而才能擬定適合之稽核計畫與項目,並針對組織現況執行確認和給予適當的稽核發現,方得有效落實第三道防線之風險控管。稽核項目之舉例說明如下:1.機敏資料保護措施,及身分識別與權限控管;2.記錄和分析系統活動日誌,及行為分析及異常通報流程;3.資安檢測及修補紀錄,及惡意活動檢視;4.系統工作負載,及使用量分析。

二、運用新興科技獵捕資安威脅

隨著AI及雲端運算等相關科技發展,會中提及程式開發人員大量運用程式碼雲端託管平台,除了方便追蹤及管理程式碼的歷史版本,最大的好處是讓開發團隊中的成員更容易協作和修改,也使專案管理人員更能輕鬆掌握整體開發進度。從稽核單位的立場來看,雲端環境之控管機制顯得格外重要,像是雲端上存放公司的機敏資料(如:程式碼、商業邏輯),若沒有加以適當的保護,恐發生未經授權的存取或是外洩。稽核人員可以嘗試透過數位工具輔助查核作業,如:雲端安全態勢管理工具(Cloud Security Posture Management, CSPM),對於雲端環境執行持續性合規檢測與自動化稽核作業,確保雲端環境的配置方式是安全的,並藉由不間斷的監控與異常偵測,及時發現參數設定錯誤、未經授權存取、帳號遭受盜用等異常情事,以強化存取原則、組態設定、網路控管與流量分析或是回應威脅入侵等控管方式。 該類工具之檢測內容得參酌特定的資安標準,如:網際網路安全中心(Center for Internet Security, CIS)的關鍵安全控制(Critical Security Controls),能夠依據不同類型的雲端資訊資產(如:應用程式、資料、裝置、網路及使用者),挑選適合組織內部之控制項目執行稽核作業。

另,關於使用雲端環境之注意事項,舉例說明如下:1.未啟用多因子認證機制:尤其針對特殊權限權限帳號,如:管理(Admin、root)或有寫入、刪除等權限帳號,建議採多因子認證,防網路釣魚攻擊的多因子認證尤佳;2.未適當劃分營運及開發環境:關於雲端環境之資源部屬,建議將正式環境和開發及測試環境分開,並留意使用者帳號之群組設定,及各群組授予之權限;3.未要求使用限定連線設備:連線至雲端環境,建議限定使用者連線之裝置設備,加以造冊控管,並針對連線之網路來源,限制須從特定網域位址方得進行連線。

三、結語

內部查核室考量金融產業發展趨勢,未來可能陸續採用雲端服務,為因應上雲後,所造成系統架構或企業網路邊界之變動,故持續研究雲端資安稽核之運用,以落實並強化風險控管。期許我們能呼應本公司業務發展之期程,以企業韌性為核心概念,拓展數位工具於內部稽核作業之中,逐項逐步的數位轉型與精進內部稽核。

回最上方