[證照] CCSK - 全球首張雲端安全知識認證簡介

隨著雲端運算技術和服務已成為全球各個產業的熱門應用，如何確保雲端運算的資訊安全，更是在提供或採用雲端服務時，最常被提出來討論的主要議題。

對此，從2008年開始醞釀，直到2009年的RSA會議中，由數十家業者共同組成了雲端安全聯盟(Cloud Security Alliance；CSA)，它是一個非營利性的組織，主要任務是在推廣雲端運算的安全應用實務，提供雲端運算一個安全的架構，同時也肩負了教育訓練工作，來協助組織強化各項雲端運算服務的安全。

在2010年6月，雲端安全聯盟正式宣布將提供產業有關使用者的雲端安全認證計畫，設計了全球第一個雲端安全認證「CCSK (Certificate of Cloud Security Knowledge)」，以確保來自各個領域的雲端運算相關工作者，擁有足以對抗雲端運算安全威脅的認知，以及所需的最佳實務來捍衛雲端安全。
註：以下內容已更新為CCSK v3

雲端安全聯盟開發了符合實務要求的「Security Guidance for Critical Areas of Focus in Cloud Computing」安全指引，以及參考歐洲網路與資訊安全局(ENISA)的「Cloud Computing: Benefits, Risks and Recommendations for Information Security」白皮書，讓這兩項文件成為CCSK認證的核心知識領域，應考人員必須熟悉並理解這些內容，才能夠順利通過考試。

雲端安全聯盟認為，個人擁有CCSK可展現充分的證明，已經具備關鍵的雲端安全知識，並成為獲得國際認可的專業雲端運算工作者。同時，CCSK認證也已獲得以下組織的支持，包括 Amazon, Accenture, Box, Citrix, Deloitte, eBay, Ernst & Young, Fujitsu, Google, Hitachi, HP, CA, Cisco, HCL Technologies, LogLogic, Intel, McAfee, Microsoft, Ping Identity, PWC, Novell, Qualys, Redhat, RSA(EMC), Sophos, Symantec, Trend Micro, VeriSign, Vmware, WhiteHat Security 等。

CCSK v3 目前採取線上考試，內容為60題選擇題，需答對80%以上才算合格，考試時間為90分鐘，考試費用$295美元(從2013年5月開始，CCSK考試費用將調整為345美元)，相關應考事項及所需知識可參考「CCSK Prepare Guide」之說明。

CCSK v3 考試的主要知識領域包括：

1. Security Guidance for Critical Areas of Focus in Cloud Computing, v3 (佔92%)

• Domain 01 - 雲端計算架構框架
• Domain 02 - 治理與企業風險管理
• Domain 03 - 法律與電子證據發現
• Domain 04 - 法規遵循與稽核
• Domain 05 - 資訊生命周期管理
• Domain 06 - 可移植性與相互運作
• Domain 07 - 傳統安全、營運持續與災難復原
• Domain 08 - 資料中心營運
• Domain 09 - 事故回應
• Domain 10 - 應用程式安全
• Domain 11 - 加密與金鑰管理
• Domain 12 - 身分識別與存取管理
• Domain 13 - 虛擬化
• Domain 14 - 安全即服務

2. ENISA Cloud Computing: Benefits, Risks and Recommendations for Information Security (佔8%)

• Risks R.1 – R.35 and underlying vulnerabilities
• Isolation failure
• Economic Denial of Service
• Licensing Risks
• VM hopping
• Data controller vs data processor definitions 等

[參考資料]
1. CERTIFICATE OF CLOUD SECURITY KNOWLEDGE：https://cloudsecurityalliance.org/education/ccsk/

2. CCSK v3 考試正式上線：http://jackforsec.blogspot.tw/2013/02/ccsk-v3.html