本週協助講授雲端服務資安管理主導稽核員的訓練課程,有學員詢問:「如果想要導入和驗證雲端服務的標準,那要如何確認自己是什麼樣的雲服務和適用哪一個國際標準?」
這是一個好問題,基本上,許多有興趣導入和實施雲標準的組織,最常見的情況就是不太清楚自己是真正的雲服務,還是只是傳統的網站服務,也不太知道自己是哪一種服務型式。
幸好,在雲端服務發展的初期,美國國家標準和技術研究院 (NIST) 就提出了雲端運算的定義 (NIST 800-145),我個人喜歡把它稱之為「雲端運算的543」,組織可以利用它來評估自己是否有應用了雲端運算,而且是提供哪一類型的雲端服務。
Source: CSA Security Guidance
雲端標準導入第一步- 先確認自己是不是雲
關於雲端運算的543,其中5個基本特徵指的是「廣泛的網路存取、快速且彈性的運作、可量測的服務、隨需的自助化服務、虛擬化的資源池」。
舉例來說,如果組織提供的服務是官方網站,它使用了一台實體的主機 (Windows Server + IIS),放在自己的機房,設定開放對外的網路 (TCP 80, 443 port),提供了組織簡介和產品資訊等內容,雖然它已滿足了一項雲端運算的特徵 (廣泛的網路存取),但只能說它其實是傳統的網站服務,並不是所謂的雲端服務。
NIST並沒有定義,雲端服務需要完全滿足以上5個特徵,但若只是符合其中一項或二項,然後說自己是雲端服務,那實在有點牽強。
雲端標準導入第二步- 提供什麼類型的雲服務
關於雲端運算的543,剩下的4和3指的是:
- 4種部署模式:公有雲 (開放給大眾使用)、私有雲 (限單一組織使用)、社群雲 (具有共同目標的族群)、混合雲 (使用兩種以上部署模式)
- 3種服務型式: SaaS 軟體即服務 (ex. M365, Dropbox)、PaaS 平台即服務 (ex. 開發環境或容器運作平台)、IaaS 基礎設施即服務 (ex. VM)
若是確認了自己的服務已具備雲端運算的基本特徵,接下來請問問自己,採用的部署模式是什麼?所提供的是哪一類型的雲服務。
雲端標準導入第三步- 釐清自己的角色
如果您的組織和Microsoft、Google、Amazon一樣,提供各式各樣的雲服務給大家使用,您就是雲端服務提供者 (Cloud Service Provider)。
如果您的組織單純只是使用現有的雲服務,例如:M365, GCP, AWS EC2等,那您就是雲端服務顧客 (Cloud Service Customer)。
如果您的組織像是Dropbox,底層的儲存空間租用了AWS S3服務,並且利用它來打造成為自己的SaaS檔案儲存服務,那您就是雲端服務顧客 (CSC),同時也是雲端服務提供者 (CSP)。
最後,如果您已完全清楚了以上三件事,下一篇文章將告訴您如何選擇適用的雲端服務國際標準。
沒有留言:
張貼留言