時至今日,有許多的政府單位和企業組織已逐漸地採用各式各樣的雲端服務,例如:雲端上的郵件服務、儲存空間、應用軟體及虛擬主機等。在採用雲端服務的效益方面,對於使用雲端服務已經數年的組織而言,都相當地肯定雲端服務的確為組織強化了資訊服務可用性、降低了營運成本,以及帶來高度彈性可擴充的能力。
根據Crowd Research Partners最新發佈的2016雲端安全研究報告指出,在受訪者中有91%的組織對於雲端服務的安全性仍是相當關注的,也就是說,目前影響組織採用雲端服務主要障礙,還是來自於安全的疑慮、擔心資料遺失或外洩風險,以及需合乎相關法令法規的要求等。但對資訊人員而言,調查顯示最頭痛的問題則是如何確認雲端服務的安全政策與組織的要求一致、如何了解基礎設施的可見度,以及確保雲端服務能夠和既有的資安法規和標準要求接軌等三項議題。
事實上,雲端安全的相關議題的確突顯了現今的雲端服務,無論是站在使用者的角度要選擇安全可靠的服務提供商,或是站在服務提供商的角度來確保雲端服務的安全性,都迫切需要找到一個彼此認可且具有公正性、代表性的指標,才能作為評估的基礎,而參考雲端安全相關的國際標準,就成為一個最佳的解決方案。
選擇最適用的雲端國際標準
目前和雲端安全有關的認證和國際標準主要有三個,分別是CSA STAR認證、ISO /IEC 27017和ISO/IEC 27018,以下分別簡要地說明標準的特性和其適用的驗證對象。
CSA STAR
CSA STAR認證是在2013年底由雲端安全聯盟(CSA)和英國標準協會(BSI),共同宣佈針對雲端服務提供商所實施的國際認證,這項認證是基於通過ISO/IEC 27001資訊安全管理系統(ISMS)的要求,並且再藉由實施雲端控制矩陣(CCM)的控制措施,以成熟度的方式來評估雲端服務提供商的安全水準,藉此來突顯組織可能需要持續改善的區域,並且確保標準的符合性,不會成為組織對於資安的最低要求。 有關取得CSA STAR認證的必要條件和評估方式,可參考先前的「展現雲端服務的安全成熟度-及早取得STAR認證」一文。
ISO/IEC 27017
ISO/IEC 27017是由ISO組織在2015年12月15日正式公布的雲端安全國際標準,基本上它仍採用ISO/IEC 27001附錄A所要求的控制措施,不過針對雲端安全的部份,它也要求強化了對於雲端服務相關人員的職責區隔、虛擬環境的隔離、虛擬主機的強化、虛擬網路的管理,以及系統管理者的操作安全和雲端服務的監控機制等。
基本上,ISO/IEC 27017不是一個獨立可驗證的標準,而是必須以ISO/IEC 27001做為基礎,在雲端服務的範圍內先取得ISO/IEC 27001證書後,再經由第三方的稽核驗證來證明組織同樣也實施遵循了ISO/IEC 27017有關雲端安全的要求。
ISO/IEC 27017使用了延伸自ISO/IEC 27001的37個控制措施,並且再加上7個增項的控制措施,在標準中特別強調在雲端服務中,客戶和提供商各自需要負起的安全責任。以ISO/IEC 27001附錄A中「A.6.1.1 資訊安全之角色及責任」為例,在ISO/IEC 27017中針對雲端服務使用者的要求是「雲端服務客戶應以書面化的協議載明雙方於雲端運算環境內的資訊安全角色及責任,並且應識別和管理雲端服務提供商的客戶支援和關懷功能」。而針對雲端服務提供商方面,則是要求「雲端服務提供商應和雲端服務客戶、本身服務的提供商、和它的供應者以書面化的協議載明各自於雲端運算環境內的資訊安全角色及責任。」
另外,以「CLD 12.4.5 雲端服務的監視」增項的控制措施為例,對雲端服務使用者的要求是「雲端服務客戶應向雲端服務提供商要求每一個雲端服務的監視功能資訊」。而針對雲端服務提供商方面,則是要求「雲端服務提供商應提供日誌存錄的功能給客戶;應讓客戶能監視其雲端服務的運作,例如: 監視和偵測雲端服務是否作為攻擊他人的平台,或是敏感資料從雲端服務上外洩;適當的存取控制應保全監視功能的使用,讓每個客戶只能存取自身雲端服務的資訊;應提供雲端服務客戶服務監視功能的文件;監視應提供與A.12.4.1事件日誌一致的資訊和支持SLA條款。」
ISO/IEC 27018
ISO/IEC 27018是在2014年正式公佈,也是第一個為公有雲上的個人資料保護,所提供可驗證的國際標準,對服務提供商而言,可以作為雲端個資管理的作業規範,實施其所要求的控制措施,藉此消除使用者對雲端服務處理個資的不信任感,也可解決其所關切的個資保護相關議題。
ISO/IEC 27018採用了延伸自ISO/IEC 27001的16個控制措施,並且再加上25個延伸自ISO/IEC 29100隱私保護框架的控制措施,在標準中特別規範了在公有雲環境的個人可識別資訊的處理者,依據相關協議或合約要求處理個人資料時應遵循的作業要求。ISO/IEC 27018主要的目的就是為了要協助雲端服務使用者和提供商之間的協議契約化,要求服務提供商確實遵守法規和合約的要求,使雲端服務的相關事項更加透明,以達成公有雲上個資保護的目標。
ISO/IEC 27018本身的獨特性在於讓服務提供商在提供雲端服務前,就能夠在合約或協議中透明地呈現其所提供的雲端服務,有關個人資料保護的機制,例如:清楚說明處理個人資料的目的、個資留存的期間、委外作業處理的方式,以及所實施的隱私保護措施等。而在提供雲端服務的期間,也讓使用者有能力可控制自身的資料,同時依據合約要求不會將個資用於行銷用途,並且記錄任何對於使用者個人資料的異動,主動將這些異動資訊提供給使用者確認。萬一真的發生相關的資料外洩或需揭露資料給第三方時,提供及時通知的機制,並且記錄任何來自於主管機關或法院要求,依法定義務或責任需揭露的個人資料。
ISO/IEC 27001仍是雲端安全的基礎
目前,這三個雲端服務國際標準,驗證的前提是要先取得ISO/IEC 27001的認證,並且涵蓋所使用或所提供雲端服務的範圍。三個標準的主要差異在於,CSA STAR的驗證對象是雲端服務提供商,確認其有足夠的能力來管理雲端服務的資訊安全,而ISO/IEC 27017的驗證對象則不限,適用於各行各業包括雲端服務的使用者和提供商,都可以藉由導入這個標準的要求,來強化雲端服務的控制措施,達到風險管理的目標。最後,ISO/IEC 27018的驗證對象則是公有雲雲端服務的提供商,目的是要強化公有雲上的個人資料管理與隱私保護,以確保使用者利用雲端服務所處理的個人資料,都能獲得適當的安全控管。所以,從雲端服務使用者的角度而言,除了自己可以導入ISO/IEC 27017雲端服務的安全控制措施之外,在選擇雲端服務提供商的時候,也可以將是否已取得CSA STAR、ISO/IEC 27017和ISO/IEC 27018認證的廠商,作為最佳的評選依據。而從雲端服務提供商的角度來看,主動積極地取得雲端服務國際標準的認證,對於取得使用者的信任,以及強化市場的競爭力,都會產生大大加分的效果,實務上也可以讓服務本身的資安管理機制正式和國際接軌,以滿足不同國家使用者的資安要求。
(本文刊載於2016年11月號網管人雜誌)
沒有留言:
張貼留言