伊云谷获ISO 27001／ISO 27017双验证

伊云谷董事长林启雄(右二)，以及伊云谷云端事业部总经理林仪(左二)接受由台湾检验科技（SGS）资深营运总监张日圣(右一)颁发的ISO 27001与IS027017证书

各行各业都张开双臂迎接云端时代的来临，但是在享受云服务的同时，许多企业也担心云服务安全及无法掌握的风险，害怕受到伤害而踌躇不前。如何确保企业的重要系统及数据上云后无后顾之忧，对于现今云端服务提供商而言是一大挑战。为了满足且确保企业用户对于信息安全的高度要求，伊云谷于近日获得SGS颁发信息安全管理系统验证ISO 27001，而伊云谷的Atlas更是第一个通过ISO 27017验证的云管理平台。

如何选择云端服务业者？

ISO验证为指南为何获得ISO 27001与ISO 27017两项验证如此重要？台湾检验科技(SGS)资深营运总监张日圣解释，在ISO 27001的部分，其可协助机关、企业管理和降低信息上所面临的各种威胁与风险，获得此一国际标准并取得验证，企业可与合作单位、员工及股东证实符合信息安全要求。

不过，ISO 27001仅要求一般的网络信息安全，但是对于云端的控制项目并未特别提及与规范；因此，对于云端服务提供厂商而言，获取ISO 27017验证也相当重要。此准则标准内容奠基于ISO 27002标准之上并发展符合云服务特性的安全控制措施以供参考及遵循，例如虚拟化管理安全、快照／其他衍伸数据相关管理，以及跨国司法管辖权等议题，皆明确规范于此一验证中。

据了解，全球许多知名云服务提供商，如Amazon及Google，皆已申请ISO 27017验证并取得证书，来进一步证明其云服务安全符合国际标准水准。由此可知，获得此二项验证，除了证明伊云谷符合云端专业能力的标准，也可供企业用户评估、采用该公司技术的重要依据。

数据安全性高 Atlas通过ISO 27017验证

对于云端服务有极大需求的企业而言，如何有效地维护、管理云端资源，过去不但煞费苦心且须付出的成本相当高昂；为此，伊云谷推出以人工智能为基础的云端管理平台Atlas，目标就是要满足企业客户的云端管理要求。据了解，Atlas是众多云端平台中第一个通过ISO 27017信息安全验证严格审查的管理平台，其具备了IT部署管理、财务管理(成本、使用量)、灾难备援管理，以及IT自动化等功能，并利用人工智能技术将管理功能最佳化。

伊云谷产品处协理林柏州解释，在IT部署管理方面，企业用户可于平台中以视觉化图表了解企业云端资源的部署情况，以及所使用的云端基础设施是否出现异常，并透过整合的使用分析报告，了解各服务的负载状况为何，提前因应可能发生的风险。

由于伊云谷为100%专注在Amazon Web Services(AWS)的专业云端服务商，也是当前AWS在大中华区唯一一家最高等级的谘询顾问(Premier Partner)，奠基于专业技术及服务能量的Atlas平台提供了排程跨区域备份的机制，客户可藉由平台的自动化功能，简化建置异地灾难备援的挑战。不但可以降低IT人员的人力需求与发生错误的风险，也满足ISO 27017对验证厂商须达到数据安全与营运持续性的需求。林柏州表示，Atlas界面可让客户轻松控管何时需要将数据与服务系统备份，甚至备份至全球不同的地理区域，在客户的服务受到地域性的天灾人祸等事件而中断时，提供了快速重新部署的灵活度，确保数据能回复到预期的时间点，将损害降到最低，从而提升服务可靠性与安全性。

此外，Atlas平台可监控用户所使用资源的实时成本，协助进行云端服务费用管理，以达到资源最佳化。平台中搭载的人工智能与大数据分析技术，会自动分析用户过去的资源使用纪录，进而预测未来趋势；若是资源使用上出现任何异于平日的状况，系统也将自动进行告警，让用户能在第一时间对异常状况进行处理。

秉持持续合规性 确保用户云端安全环境

伊云谷协助客户规划或建置信息环境时，将安全列为首要考虑的项目。其中像持续合规(Continuous Compliance)、AWS环境安全检测...等多项专业服务广受众多客户好评。伊云谷维运服务处协理周许义先举持续合规为例。过去企业即便于公司网络设定防火墙，仍有黑客入侵之虞；其原因在于，目前有8成的黑客行为都是来自企业内部员工监守自盗，其中一个方法是内部员工在他人不知情的状况下于防火墙上设定「后门」，或是自行设定公司帐号，而后再利用这些漏洞进入公司剽窃，而这些黑客入侵行为，企业内部往往不易察觉。

过往的企业若想防止这一类的状况发生，可能须花上许多成本购买软件加以监控；而伊云谷的持续合规费用远低于传统软件，且可确保客户所有的设定与帐号不会在未经许可的状况下突然被他人所异动。例如(1)若有人未经许可变更防火墙设定或帐号，系统会自动告警，并告知差异；(2)客户亦可选择系统若遇未经许可之变更，自动恢复原设定，并通知管理人员。

例如国内某一知名电视台网站时常受到黑客威胁，而后此一电视台与伊云谷合作，针对最重要的网络设定：安全组(Security Group)、NACL(Network Access Control List)及路由表进行优化，并设定安全组让原网站主机(Original Server)只接受来自AWS CloudFront的连线，避免黑客侦测到主机位置后，跳过CloudFront针对主机直接进行攻击；针对最佳化后的环境组态，则套用伊云谷研发之持续合规控管系统，可于内部员工未经授权或是遭受黑客攻击而变更安全性设定时，系统将发出告警且自动复原环境组态，确保系统组态持续受管及合规，大幅强化系统安全性。

周许义继续表示，伊云谷MSP服务提供的安全检测系统可以协助客户检查AWS环境是否符合安全最佳实践(Security Best Practice)，提升环境安全性。在传统的机房环境中，防火墙设定全部仰赖网络工程师的专业，若工程师不慎或故意设错规则，让防火墙出现漏洞，企业非常难以察觉；藉由伊云谷提供的检测系统，可检视防火墙设定是否过于宽松，并主动指出宽松处与可能的安全疑虑，提醒客户做出及时补救。

除了上述的防火墙规则检测，伊云谷的安全检测系统亦会检查AWS帐号、S3储存空间、CloudTrail、快照备份等重要服务设定是否符合最佳实践，协助客户保障系统安全性并提升服务可用性。在企业皆欲上云的的潮流下，云端服务商能否确保用户的信息安全且维持持续合规性，将成为企业选择的重要考量；伊云谷不但是AWS大中华地区唯一的高级合作夥伴，且已取得ISO 27001与ISO 27017双验证，都在在证明该公司可提供符合国际标准的云端专业能力。