隨著雲端服務的迅速發展,無論是SaaS、PaaS、IaaS服務,各種雲端服務供應商都提供了消費者方便彈性、隨需可用的雲端服務,只是在眾多服務的背後,您是否了解廠商對於資安控管和安全責任的要求?是否可以安心地採用雲端服務呢?
面對如雨後春筍般出現的雲端服務,身為想要採用雲端服務的消費者,到底應該如何選擇一個可靠安全的雲端服務供應商?事實上並不容易。對用戶而言,公有的雲端服務,其實就是一種外包服務,消費者對於廠商的了解,可能來自於品牌印象、其他人的推薦,或是來自於媒體中刊登的廣告,對於價格或服務的內容,也許可以有所了解,但是對於廠商的資料保護能力、服務運作能力,以及資訊安全的管理要求和實施情況呢?或許心中仍然存在著許多的問號。
基本上,由於雲端服務本身有著跨越國境和許多用戶同時租用的特性,而且各項行業依照其產業所屬性質的不同,都有其所需要特別遵守的法律法規,再加上各個雲端服務供應商對於資安要求的程度不一,因此目前仍然缺乏一個統一的標準,也很難有一個容易實施的方法來進行安全性的評估。
雖然有些業者強調,已經導入了資訊安全管理標準ISO 27001的安全控管要求,但是其驗證的範圍是否包含了雲端服務?針對雲端服務實施了哪些安全的控制措施,整體的資訊安全水準如何?似乎缺少了一個更透明化的方式,可以讓廣大的消費者得知,並且可以作為選擇雲端服務供應商的參考。
雲端安全開放認證架構簡介
對於以上所提到種種與安全有關的問題,雲端安全聯盟(CSA)已認知到很難有一個單一的安全認證,就可以含括所有服務供應商的安全需求,但是業界又很確切需要有一種公開且可受公評的方式,讓服務供應商可以自我揭露其安全水準,同時也讓消費者獲得可以參考的依據。
因此,在2012年的雲端安全會議中,雲端安全聯盟基於各項受到產業認可的安全控制目標,提出了雲端安全開放認證架構(Open Certification Framework;OCF),可用來作為評估雲端服務供應商的安全認證。OCF是基於雲端安全聯盟對於治理、風險和法規遵循(Governance, Risk and Compliance Stack)的研究專案,所發展出來的可信賴雲端服務認證安全架構,它能夠廣泛地支援多個層次且來自於不同供應商和消費者的安全需求。
|
▲OCF採取三層式的認證架構。(圖片來源:CSA Open Certification Framework) |
雲端安全開放認證架構提供了一個可彈性應用的方案,透過三個漸進式的發展層次,從自我評估到外部評鑑的實施,最終的目標是希望能夠持續地監控,以確保各項安全控制措施的有效性,並且也能不斷地改善,以滿足使用者的安全需求。雲端安全聯盟指出,服務供應商藉由實現了雲端安全開放認證架構的安全控制,將可以達成以下目標:
1. 讓雲端服務供應商可以因應各項產業標準和法規的要求,並且採取業界認同的雲端安全最佳實務,同時更期許經由政府機關的率先導入,為公眾使用的雲端服務,指出了一個明確可行的安全認證要求與方向。
2. 提供了明確的安全指引和工具,像是整合了ISO 27001的雲端控制矩陣 (Cloud Controls Matrix;CCM),讓雲端服務供應商更易於滿足多項標準的安全要求。CCM是雲端安全聯盟設計用來作為評估雲端安全的基礎,也是引導服務供應商採用業界的最佳實務作法,除了可以確保其雲端服務的安全,同時也能協助雲端服務的消費者,藉此來選擇符合其安全要求的雲端服務供應商。CCM的控制措施和CSA雲端安全關鍵指南中的13項安全領域要求是一致的,並且融合了其他業界常見的安全標準,例如 HITRUST CSF、ISO 27001/27002、ISACA COBIT、PCI、HIPAA和NIST等,也呼應了服務型組織對其內部稽核控制的安全要求,預期將可減少組織同時適用各項法規時,所需要面對的重複稽核問題。
3. 雲端安全開放認證架構可作為一項受到業界認可的體制,它能夠支援ISO標準、美國會計師協會(AICPA)和其他相關安全認證架構,簡化並減少需要重複進行各項安全認證的要求。
開放認證架構的評鑑方式
雲端安全開放認證架構是一個三層式的架構,從它的底層出發愈往上走,就愈能透明化的展現雲端服務供應商的安全控管方式,並且讓消費者獲得更高的安全保證,評鑑的實施方式說明如下。
第一層:STAR自我評鑑(The STAR Self-Assessment)
在這一層次中,雲端服務供應商可以提交兩種類型的報告,一種是依據CSA STAR(Security, Trust & Assurance Registry;STAR)的自我評估問卷(Consensus Assessments Initiative Questionnaire;CAIQ),描述各項已符合安全要求的作法與因應措施,然後將它傳送到CSA的註冊管理單位(STAR Registry)來進行審查;而另一種則是依據雲端控制矩陣中所要求的98項安全控制措施,逐條回答已經實施的作法以及現況。