2013年2月27日 星期三

[觀點] 雲端運算安全入門(完) - 虛擬化安全與雲端資安服務

上一次我們探討了雲端服務的身分驗證,提到目前許多雲端服務綁定的都是使用者的帳號,如果沒有實施強健的安全機制,一旦帳號被挾持,就會產生嚴重的安全問題,本期將說明此系列文章的最後一個單元,說明雲端運算採用虛擬化技術的安全風險和透過雲端所提供的安全服務。 

在雲端運算的領域之中,最早被許多人認為是一種雲端技術的就是虛擬化技術,但事實上在雲端運算還沒有成為熱門的話題之前,虛擬化就已經被運用在儲存系統中,而且進一步擴展到主機層的虛擬化及網路層的虛擬化。 

對雲端運算的三種服務型式-SaaS、PaaS、IaaS而言,虛擬化目前已被廣泛的運用在IaaS服務之中,藉由虛擬主機(VM)的幫助,服務供應商提供了一個巨大的虛擬資源池(pool),讓雲端運算可以快速且彈性的擴充,並且支援多租戶的方式,讓使用者可以採自助的方式,自由地調配所需的運算能力(包括CPU處理器、記憶體容量、儲存空間及虛擬主機的數量等),同時虛擬主機也可作為提供SaaS、PaaS等服務的強大基礎。 

2013年2月26日 星期二

[證照] CCSK v3 考試正式上線

目前CSA網站已正式提供CCSK v3版本的考試,新舊版本考試的主要差異如下:

1. 考試題目增加為60題,應考時間也增長為90分鐘。(v2.1的題目為50題,時間為60分鐘)

2. 如果之前您就已經付費並取得舊版CCSK的考試許可,也可以直接使用它來參加新版的考試。

3. 如果您之前都是以安全指南v2.1的內容來準備CCSK考試,在2013年12月31日之前還可以選擇參加舊版的考試。

4. 對於已經通過考試並取得CCSK v2.1證書的人,並不需要參加新版考試來維持證書的有效性。在2013Q3,CSA將會提供一個免費的線上自我學習升級模組,讓所有取得CCSK的人都可以更新到v3版本。

5. 從2013年5月開始,CCSK考試費用將調整為345美元(v2.1為295美元),一樣擁有兩次的考試機會,如果您之前就已經付完費用,或是在5月1日前先付費取得了考試許可,它都不會過期並可在任何時間參加考試。(這也就是說想取得CCSK認證的朋友,可以趁還沒漲價之前,就趕快先去完成報名吧!)

6. 如果想要準備CCSK v3考試,可以參考新版的考試準備指南:
https://cloudsecurityalliance.org/wp-content/uploads/2013/02/CCSK-Prep-Guide-V3.pdf

依據個人參加CCSK v3 beta版的考試經驗,新版本的考試依舊是有點難又不會太難,考題的問法和v2.1差不多,選項為多選一的方式,並搭配了幾題是非題(二選一),也同樣需要答對80%以上考題才能過關。
至於在考試內容比例方面,v3的考試92%為安全指南的內容,8%為ENISA白皮書的內容,已經不考所謂的雲端運算常識題了。如果只研讀v2.1的安全指南內容就去應試v3,估計大概只能拿到70%的分數,所以未來勢必也要熟讀v3的安全指南內容,再加上ENISA的白皮書,才能順利通過新版的考試囉。

[資料來源]
https://cloudsecurityalliance.org/csa-news/ccsk-version-3-english-examination-is-now-available/