[分享] 如何選擇適用的雲端安全標準

上一篇文章，分享了「導入雲端安全標準前應思考的三件事」，如果您已經確認組織所提供的服務，符合了雲端運算的五個基本特徵，並且歸納出是屬於哪一種部署模式和服務型式，也清楚了組織的角色是雲端服務顧客 (CSC) 或是雲端服務提供者 (CSP)，那接下您就可以參考這一篇文章，選用適合實施和進行驗證的雲端安全標準。

Source: BSI

可實施驗證的雲端安全標準

目前國際上認可和雲端安全有關，常見並且可以實施驗證的四個標準如下：

1. ISO/IEC 27001：它是適用於各行各業的資訊安全管理標準，可協助組織建立一個資訊安全管理系統 (ISMS)，藉由執行風險評鑑來選擇適當的控制措施，定義組織要達成的資安目標，再透過定期實施的內部稽核和管理審查，讓組織秉持PDCA的精神來持續改善資安，組織必須先通過ISO 27001驗證，這是獲得其他雲端安全標準證書的基本要求。
   
   
2. ISO/IEC 27017：它是基於ISO 27002，所延伸補充的雲端服務資訊安全控制措施的實作指引 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services)，可適用於四種部署模式 (公有雲、私有雲、社群雲、混合雲) 和三種服務型式 (SaaS, PaaS, IaaS)，也同時適用雲端服務顧客 (CSC) 和雲端服務提供者 (CSP) 兩種角色。換句話說，它是目前適用性最廣泛的雲端安全標準。
   
   
3. CSA STAR：它是由雲端安全聯盟 (CSA)，所推出由產業認可的雲端安全標準，本身是基於由產業工作小組所聯合發展的雲端控制矩陣 (Cloud Control Matrix, CCM)，在實施之後，雲端服務提供者可藉由完成雲端安全自評表 (CAIQ)，或委由獨立公正的驗證單位像是BSI實施稽核，讓組織來展現已達成CSA STAR Level 1和Level 2的驗證。適用的對象，通常是以提供公有雲的三種服務型式為主的雲端服務提供者 (CSP) 。
   
   
4. ISO/IEC 27018：它是基於ISO 29100的隱私框架 (Privacy Framework) 和延伸補充自ISO 27002的控制措施，提供給PII處理者於公有雲環境，依據合約或協議處理個人可識別資訊 (PII) 時可遵循的實作指引 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)。這個標準是目前適用性範圍最小的，適用的對象包括提供公有雲的三種服務型式，但必須是PII處理者 (經由控制者委託處理PII) 的雲端服務提供者 (CSP)。

最簡單的評估和選擇方法

看了以上的說明，各位肯定還是眼花繚亂和一頭霧水，對吧？別擔心，這裡介紹簡單選用的三個步驟 - 先釐清組織角色 (CSC or CSP)、確認服務類型 (SaaS, PaaS, IaaS)、選用部署模式 (公有雲、私有雲、社群雲、混合雲)，再依下列方法來選擇。

選擇一，無論您的組織是雲端服務顧客 (CSC) 或是雲端服務提供者 (CSP) ，使用或提供的是哪一種服務型式，也不管是哪一種部署模式，ISO 27017 肯定是最為適用的雲端安全標準。

選擇二，如果您的組織是雲端服務提供者 (CSP)，提供了任何一種的服務型式 ，通常部署的模式為公有雲 (Public Cloud) ，那麼選擇實施 CSA STAR 沒問題。

選擇三，如果您的組織是雲端服務提供者 (CSP)，在公有雲上提供了任何一種的服務型式，並且受到您的顧客委託 (有簽訂合約或協議)，使用雲服務來進行個資 (PII) 處理的活動，那麼您可以選擇實施ISO 27018來強化雲端服務的個資與隱私保護。

最後，再從組織角色方面，歸納出以下最簡單的判斷方式。

• 如果您是雲端服務顧客 (CSC)，只能驗證 ISO 27001 + ISO 27017。
• 如果您是雲端服務提供者 (CSP)，可以驗證 ISO 27001 + ISO 27017 + CSA STAR。
• 如果您是雲端服務提供者 (CSP)，並且也是公有雲的PII處理者，可以驗證 ISO 27001 + ISO 27017 + CSA STAR + ISO 27018。

 

[分享] 導入雲端標準前應思考的三件事

本週協助講授雲端服務資安管理主導稽核員的訓練課程，有學員詢問：「如果想要導入和驗證雲端服務的標準，那要如何確認自己是什麼樣的雲服務和適用哪一個國際標準？」

這是一個好問題，基本上，許多有興趣導入和實施雲標準的組織，最常見的情況就是不太清楚自己是真正的雲服務，還是只是傳統的網站服務，也不太知道自己是哪一種服務型式。

幸好，在雲端服務發展的初期，美國國家標準和技術研究院 (NIST) 就提出了雲端運算的定義 (NIST 800-145)，我個人喜歡把它稱之為「雲端運算的543」，組織可以利用它來評估自己是否有應用了雲端運算，而且是提供哪一類型的雲端服務。

Source: CSA Security Guidance

雲端標準導入第一步- 先確認自己是不是雲

關於雲端運算的543，其中5個基本特徵指的是「廣泛的網路存取、快速且彈性的運作、可量測的服務、隨需的自助化服務、虛擬化的資源池」。

舉例來說，如果組織提供的服務是官方網站，它使用了一台實體的主機 (Windows Server + IIS)，放在自己的機房，設定開放對外的網路 (TCP 80, 443 port)，提供了組織簡介和產品資訊等內容，雖然它已滿足了一項雲端運算的特徵 (廣泛的網路存取)，但只能說它其實是傳統的網站服務，並不是所謂的雲端服務。

NIST並沒有定義，雲端服務需要完全滿足以上5個特徵，但若只是符合其中一項或二項，然後說自己是雲端服務，那實在有點牽強。

雲端標準導入第二步- 提供什麼類型的雲服務

關於雲端運算的543，剩下的4和3指的是：

• 4種部署模式：公有雲 (開放給大眾使用)、私有雲 (限單一組織使用)、社群雲 (具有共同目標的族群)、混合雲 (使用兩種以上部署模式)
• 3種服務型式： SaaS 軟體即服務 (ex. M365, Dropbox)、PaaS 平台即服務 (ex. 開發環境或容器運作平台)、IaaS 基礎設施即服務 (ex. VM)

若是確認了自己的服務已具備雲端運算的基本特徵，接下來請問問自己，採用的部署模式是什麼？所提供的是哪一類型的雲服務。

雲端標準導入第三步- 釐清自己的角色

如果您的組織和Microsoft、Google、Amazon一樣，提供各式各樣的雲服務給大家使用，您就是雲端服務提供者 (Cloud Service Provider)。

如果您的組織單純只是使用現有的雲服務，例如：M365, GCP, AWS EC2等，那您就是雲端服務顧客 (Cloud Service Customer)。

如果您的組織像是Dropbox，底層的儲存空間租用了AWS S3服務，並且利用它來打造成為自己的SaaS檔案儲存服務，那您就是雲端服務顧客 (CSC)，同時也是雲端服務提供者 (CSP)。

最後，如果您已完全清楚了以上三件事，下一篇文章將告訴您如何選擇適用的雲端服務國際標準。

[分享] 製造業的資安管理重點

上週到新竹某個高科技製造業公司，擔任 ISO 27001 Lead Auditor 的課程講師，現場有參與課程的學員問到，對高科技製造業者來說，需要考量的資安管理重點是什麼？

一般來說，高科技製造業的資安管理，至少需要涵蓋以下三個層面：

1. 生產製造：建立機台相關控制系統的存取控制、網路管理及端點裝置防護的流程；

2. 內部系統：實施基礎設施的實體安全管理、強化內部系統安全 (ex. MES, ERP) 及資料保護的控制措施；

3. 外部服務：針對供應商和供應鍊的安全管理，以及使用外部提供的新興科技服務 (ex. Cloud, AI) 的管控機制。

另外，除了定期實施一般人員的資安訓練，防範社交工程和釣魚郵件的威脅，強化最高管理階層的資安認知也是必要的工作，唯有最高管理階層具備資安風險管理的觀念，才有辦法帶領組織和員工落實資訊安全的要求。