面對如雨後春筍般出現的雲端服務,身為想要採用雲端服務的消費者,到底應該如何選擇一個可靠安全的雲端服務供應商?事實上並不容易。對消費者而言,公有的雲端服務,其實就是一種外包服務,消費者對於廠商的了解,可能來自於品牌印象、其他人的推薦,或是來自於媒體中刊登的廣告,對於價格或服務的內容,或許可以有所了解,但是對於廠商的資料保護能力、服務運作能力,以及資訊安全的管理要求和實施情況呢?或許心中仍然存在著許多的問號。
基本上,由於雲端服務本身有著跨越國境和許多用戶同時租用的特性,而且各項行業依照其產業所屬性質的不同,都有其所需要特別遵守的法律法規,再加上各個雲端服務供應商對於資安要求的程度不一,因此目前仍然缺乏一個統一的標準,也很難有一個容易實施的方法來進行安全性的評估。
雖然有些業者強調,已經導入了資訊安全管理標準ISO 27001的安全控管要求,但是其驗證的範圍是否包含了雲端服務?針對雲端服務實施了哪些安全的控制措施,整體的資訊安全水準如何?似乎缺少了一個更透明化的方式,可以讓廣大的消費者得知,並且可以作為選擇雲端服務供應商的參考。
雲端安全開放認證架構簡介
對於以上所提到種種與安全有關的問題,雲端安全聯盟(CSA)已認知到很難有一個單一的安全認證,就可以含括所有服務供應商的安全需求,但是業界又很確切需要有一種公開且可受公評的方式,讓服務供應商可以自我揭露其安全水準,同時也讓消費者獲得可以參考的依據。
因此,在2012年的雲端安全會議中,雲端安全聯盟基於各項受到產業認可的安全控制目標,提出了雲端安全開放認證架構(Open Certification Framework;OCF),可用來作為評估雲端服務供應商的安全認證。OCF是基於雲端安全聯盟對於治理、風險和法規遵循(Governance, Risk and Compliance Stack)的研究專案,所發展出來的可信賴雲端服務認證安全架構,它能夠廣泛地支援多個層次且來自於不同供應商和消費者的安全需求。
雲端安全開放認證架構提供了一個可彈性應用的方案,透過三個漸進式的發展層次,從自我評估到外部評鑑的實施,最終的目標是希望能夠持續地監控,以確保各項安全控制措施的有效性,並且也能不斷地改善,以滿足使用者的安全需求。雲端安全聯盟指出,服務供應商藉由實現了雲端安全開放認證架構的安全控制,將可以達成以下目標:
- 讓雲端服務供應商可以因應各項產業標準和法規的要求,並且採取業界認同的雲端安全最佳實務,同時更期許經由政府機關的率先導入,為公眾使用的雲端服務,指出了一個明確可行的安全認證要求與方向。
- 提供了明確的安全指引和工具,像是整合了ISO 27001的雲端控制矩陣 (Cloud Controls Matrix;CCM),讓雲端服務供應商更易於滿足多項標準的安全要求。CCM是雲端安全聯盟設計用來作為評估雲端安全的基礎,也是引導服務供應商採用業界的最佳實務作法,除了可以確保其雲端服務的安全,同時也能協助雲端服務的消費者,藉此來選擇符合其安全要求的雲端服務供應商。CCM的控制措施和CSA雲端安全關鍵指南中的13項安全領域要求是一致的,並且融合了其他業界常見的安全標準,例如 HITRUST CSF、ISO 27001/27002、ISACA COBIT、PCI、HIPAA和NIST等,也呼應了服務型組織對其內部稽核控制的安全要求,預期將可減少組織同時適用各項法規時,所需要面對的重覆稽核問題。
- 雲端安全開放認證架構可作為一項受到業界認可的體制,它能夠支援ISO標準、美國會計師協會(AICPA)和其他相關安全認證架構,簡化並減少需要重覆進行各項安全認證的要求。
開放認證架構的評鑑方式
雲端安全開放認證架構是一個三層式的架構,從它的底層出發愈往上走,就愈能透明化的展現雲端服務供應商的安全控管方式,並且讓消費者獲得更高的安全保證,評鑑的實施方式說明如下。
第一層STAR自我評鑑 (The STAR Self-Assessment)
在這一層次中,雲端服務供應商可以提交兩種類型的報告,一種是依據CSA STAR (Security, Trust & Assurance Registry;STAR)的自我評估問卷(Consensus Assessments Initiative Questionnaire;CAIQ),描述各項已符合安全要求的作法與因應措施,然後將它傳送到CSA的註冊管理單位(STAR Registry)進行審查;另一種則是依據雲端控制矩陣中所要求的98項安全控制措施,逐條回答已經實施的作法與現況。
雲端服務供應商向STAR Registry所提交的自我評鑑報告,雲端安全聯盟會在其網站(https://cloudsecurityalliance.org/star/registry/)上提供已認可的註冊記錄,讓公眾可以直接查詢,這些記錄將可以協助雲端服務的消費者,了解並評估服務供應商的各項安全控制的作法,目前這項服務無論是註冊或查詢,都是可以免費進行的。
在這個評鑑階段中,由雲端安全聯盟所提供可免費下載的自我評估問卷(CAIQ),提供了超過140項針對雲端服務供應商、消費者和雲端安全稽核人員可能想要了解的安全問題,服務供應商可以自行填答(Yes or No)並提出描述說明,透過自我揭露的各項安全作法,用來作為消費者在選擇雲端服務時,可評估安全風險的最佳參考資料。
服務供應商必須確保自我評鑑的更新週期,不得小於12個月,也就是說至少每年都需要重新自我評鑑一次,以確保各項安全控制措施的更新,能夠及時反應在評鑑的內容之中。如果沒有及時更新,雲端安全聯盟會將未更新的報告註記為不認同,如果超過一年六個月都還沒有更新的話,就會直接將這筆記錄從註冊資料庫中移除。
第二層 STAR認證-第三方獨立評鑑 (STAR Certification - Third Party Assessment)
在第二層的評鑑之中,雲端安全聯盟將會結合ISO 27001和雲端控制矩陣的安全控制措施要求,透過第三方驗證單位(目前配合的驗證單位是BSI英國標準協會)來實施獨立的安全查核,針對雲端系統的成熟度進行評分。 這項安全查核將採用國際標準普遍應用的規劃、實施、檢查、改善行動(PDCA)原則,並依照雲端控制矩陣中對雲端系統的安全要求來進行,最後所獲得已量化的評分,即可作為管理階層進行評估改善的參考。
第三層 基於認證的持續監控 (Continuous Monitoring based certification)
第三層是CSA STAR認證的延伸,目標是希望透過持續蒐集到的稽核證據,即時地監控雲端安全的控制,以期符合消費者的安全要求,此一階段的實施做法,目前則還在發展之中。
雲端安全開放認證的實施現況
目前,雲端安全開放認證架構仍處於先期的導入計畫階段,已經實施的是第一層的自我評鑑要求,已經獲得許多雲端服務供應商的響應參與。第二層的做法預計在2013年開始執行,至於第三層的持續監控要求,預計最晚會在2015年完成。
對雲端服務供應商而言,實施導入雲端安全開放認證架構的安全要求,不是為了追求另外一項認證,而是能夠具體的提供其雲端服務安全管理的證明,同時也確認自己有能力來因應可能發生的安全事件,能夠降低雲端服務的營運風險,建立消費者對於業者的信心。
至於對消費者來說,則是獲得了一個透明公開的管道,可以得知雲端服務供應商的安全管理要求與實際做法,評估是否與自身的安全需求能夠趨於一致,並且可以滿足組織的安全政策與要求。(本文刊載於2013年6月號網管人雜誌)
沒有留言:
張貼留言