面對市場上的企業雲端信箱服務提供商,企業 IT 面臨導入雲端服務的規劃,勢必會遇到可用性與安全性的評估。因為市場上並沒有一套共用機制去評估雲端信箱服務的等即,但如果從管理角度,也許可以嘗試設定從幾個管理面向來評估雲端信箱服務的可用性與安全協議的比較。
本文從台灣雲端信箱三大提供商 G Suite、Microsoft365、MailCloud 為例,以下的面向的優先順序,會從服務本身是否具備國際檢驗標準先來觀察,其次是跟可用性相關的參考數據,以及資料安全掌握度,包含資料中心位置、備份還元機,最後是服務協議跟價格面向的參考。但實務上還是可以針對企業特別重視的地方調整重要度的比重,以下針對不同面向的觀察提供意見。
雲端服務相關的國際認證主要基本為 ISO27001,其次跟個人隱私保護有關的是ISO27017/18、跟 GDPR 隱私工程有關的是 ISO27550,近期雲端安全聯盟(Cloud Security Alliance, CSA)推出 CSA STAR 認證,目的是強化國際 ISO/IEC 27001 資訊安全管理系統標準。但從整個資安規範的框架,都是從 ISO27001 延伸出來的認證,因此也是雲端服務廠商必備的證照。
而 ISO27001的認證區分「機房認證」跟「維運認證」,以國際品牌 G Suite/Microsoft365 平台服務為例,由於機房跟服務皆由同一品牌雲端服務商提供,因此由 Google / Microsoft 提供 ISO27001 認證即可。如果是機房跟服務分屬於不同企業管理,那會需要 2 張證書,例如網擎提供 MailCloud 維運 ISO 認證,搭配中華電信機房 ISO 認證。
服務層級協議 (Service Level Agreement,SLA) 是雲端服務商與用戶之間,對於服務品質、水準以及性能等方面達成協議或契約。通常也會以可用性來概稱,一般我們常會看到雲端服務商宣稱 SLA 99.9,這個參數代表的意義指的是服務從時間 (ex.日/月/年) 發生的總中斷時間的百分比,更直接來說就是系統無法提供服務時間 (Downtime) 以 G Suite 提供 99.9%、Microsoft 提供 99.95%,MailCloud 提供 99.99%。
RPO (Recovery Point Objective) 泛指衡量災害造成資料遺失的時間,例如 RTO=1小時/次,表示嚴重損壞時每次可接受的資料遺失持續時間為 1 小時 ; RTO(Recovery Time Objective) 泛指衡量災害造成服務中段的目標恢復時間,例如 RTO=1小時/次,表示每次最大可容忍服務復原時間為 1 小時。而不同品牌提供各自服務的 RPO/RTO 規格略有不同,導入雲端服務時皆可以跟廠商取相關資訊。
資料中心在台灣或在國外的觀察差異主要有 2 點,第 1 點是法規遵循,以政府機關規範而言,目前皆要求雲端服務資料中心必須在台灣,可以完整被台灣本地法規規範 ; 其次第 2 點是資料管轄範圍,因為資料中心在台灣本地機房,因此可以隨時確認資料存放紀錄,如果是國外機房則要求調閱相關資料時,則當地資料中心未必可以完全配合或在期望的時間內完成。以 Google 而言 GCP 資料中心在台灣彰濱,但郵件資料中心分散在不同國家,而 Microsoft Azure、365 亞洲資料中心位於香港、日本。網擎因為是本地品牌,MailCloud 資料中心在中華電信。
雲端信箱的價格從幾百元到國際品牌數千元不等,但服務也對區分純信箱代管或者套餐或組合服務,以 G Suite/ Microsoft365/MailCloud 標準服務都是提供套餐或組合服務,其他國內品牌多以純信箱代管為主,再搭配加值服務的加購 (例如 hiBox),企業可以評估現階段的需求,搭配適合的服務。
是否能夠提供定期 ISO 檢驗的查核報告,也成為雲端服務提供商需要佐證的項目,尤其當金管會發佈可使用雲端服務後,其中在辦法條文中,針對相關使用雲端服務的規定就明確指出,雲端服務商要能夠出具查核報告內容並符合相關國際資訊安全標準。
除了上述評估雲端服務整體安全性的要點外,建議也要在採購合約議定時,進行相關保護協議,例如約定當 SLA 無法能承諾時,雲端供應商應提那些措施或辦法來降低企業未能使用雲端服務造成的商業損失。整體而言雲端服務的可用性與安全性,不論選用國外或國內品牌的雲端服務,應該先從遵循管理需求開始,再來檢視相關功能是否符合企業資安需求。雖然企業市場並無標準規範定義雲端服務可用性與安全協議,但政府跟金融已經開始制定相關法規,相信會逐漸將規範延伸至企業市場,企業選用雲端服務可以更安心與放心。