作者： Todd Thiemann

許多政府法規都規定企業在內部控管機制上必須采取職權分離原則。職權分離原則是將一項關鍵工作由不同人員共同負責，藉由「監督與制衡」來達到防弊與防錯。

國際計算機稽核協會在這里有一篇關于職權分離的不錯文章，此外，網絡作家 Nick Szabo 在這里也討論了一些職權分離的概念。內部控管與職權分離適用于 Sarbanes-Oxley 沙賓法案 ( 請看 這里 的內部控管報告 ) 、 PCI DSS 、 FERC 等等法規的遵規。產業知名分析機構 Forrester 和 Gartner 也會定期發表有關職權分離的報告。

職權分離不僅適用于企業內部的私人 云端 ，也適用于企業外部的公共云端。應用在內部云端的案例之一，就是營業單位必須確實做好敏感數據的變更控管，由適當的人員來控制和管理這些數據的存取。做好數據保護，也有助于強化身分與存取管理 解決方案 ，既能讓營業單位用戶方便存取自己的數據，又能防止 IT 系統管理員存取。

在公共云端，每當 IT 營運單位希望啟用某個應用程序時， IT 安全單位會希望有適度的控管機制來確認公共云端的應用程序符合政策要求 ( 例如掛載的位置、時間、地區等等都必須正確 ) 。這一點對傳統的實體數據中心來說一切都清楚明了，因為既有的政策與程序都能確保職權分離，但是到了云端運算環境，由于原有的程序可能無法適用，因此就產生了一些新的挑戰。

職權分離也適用于許多需要外部運算服務供貨商的情況，例如：基礎架構服務 云端 供貨商。在加密與云端領域，云端安全聯盟的安全指南 2.1 版對于加密密鑰的管理提出了下列建議：

別將密鑰管理的責任交給提供代管服務的云端供貨商，這樣才能達到職權分離。如此，萬一因為法律要求而必須提出數據時，就不會造成云端供貨商和客戶之間的沖突。

這就是信息 安全 產業在職權分離方面必須解決的新挑戰，也是 SecureCloud 這類方案所要解決的問題。

本文版權為 趨勢科技 所有，對于非贏利網站或媒體轉載請注明作者以及原文鏈接。謝謝合作！

藉由分離來降低風險：云端內的職權分離