對IT人員來說,由雲端安全聯盟雲端安全聯盟(CSA)推出的CCSK(Certificate of Cloud Security Knowledge)證照的價值,在於確認取得者已了解雲端服務的各項架構,擁有足以對抗雲端安全威脅的認知,並且懂得如何評估雲端安全風險,更可藉此證明個人已具備關鍵的雲端安全知識,成為國際認可的專業雲端運算工作者。
隨著雲端運算(Cloud Computing)愈來愈受到企業關注與應用,資訊安全防範也成為擁抱雲端刻不容緩的議題。如何才能確保雲端運用過程中資料的安全性?法律上又有那些規範必須遵守?這些種種對應的安全控制措施都需有完善的策略才能降低雲端在應用上的安全風險。
有鑑於目前並沒有統一的規範與標準的防範措施,而且企業在邁入雲端的過程中往往需要花費很多時間摸索,為了協助IT人員取得廣泛的雲端安全知識,近來,雲端安全聯盟雲端安全聯盟(Cloud Security Alliance,CSA)發表了安全指引(Security Guidance),同時參考歐洲網路與資訊安全局(ENISA)的「Cloud Computing: Benefits, Risks and Recommendations for Information Security」白皮書,以此兩者內容為主要依據,設計出雲端安全的知識認證CCSK(Certificate of Cloud Security Knowledge)以協助IT人員評估、管理與維護雲端安全。
表1 Security Guidance包含的知識領域
知識認證無關實作
由於這張知識認證是以雲端上的安全為主要訴求,因此在內容設計上並非以資安控制的實作方式為框架,反而是以知識概念的建立為主,因此在安全指引的內容中,一開始就從雲端計算架構框架討論,然後進入到風險管理與法規遵循議題,再深入探討如何在災難發生時還能持續營運、當事件發生,如何回應、通報與矯正等等,共有13個 Domain的討論,虛擬化也是其中一項。
雖然同樣都是以資訊安全為出發點,但CCSK與目前常見的資安相關證照,例如CISSP(Certified Information Systems Security Professional)、Cisco(CCNA Security、CCSP、CCIE Security)或是CompTIA Security+、CEH(Certified Ethical Hacker)等這類證照課程最大不同之處,就在於CCSK專門著重於雲端安全的知識累積。
目前為網管人專欄作家,同時已取得CCSK與CISSP證照的花俊傑指出,CCSK和其他資安證照不同之處,在於它特別專注在探討雲端安全的相關問題,並且提出業界專家的安全建議,可以作為雲端服務供應商、雲端從業人員,或是考慮採用雲端服務的組織,針對資安管控方面的參考。
「CISSP的課程內容是廣泛的資訊安全控制,由於沒有設定特別的領域或系統,課程內提到的知識,例如身份安全管理就可以適用於多數系統,但CCSK則是廣泛的雲端安全探討,例如企業考慮採用雲端服務,打算使用雲端服務供應商提供的主機,依照公司內部的情況可能具有那些風險、如何評估等等,若是企業要開發類似Google的雲端服務需要提供技術實作,這個課程就不是那麼合適。」花俊傑解釋,雖然CCSK也提到虛擬化,但並不是介紹各個虛擬化平台,反而是在虛擬化技術下有那些安全問題需要被考慮,例如VM的管理、資料移轉與備援、系統營運該注意那些事項等等。
他指出,對IT人員來說,這張證照的價值在於確認取得者已了解雲端服務的各項架構,擁有足以對抗雲端安全威脅的認知,並且懂得如何評估雲端安全風險,更可藉此證明個人已具備關鍵的雲端安全知識,成為國際認可的專業雲端運算工作者。
CCSK在目前已受到業界廣泛的認同,包括了eBay、ING、 Lockheed Martin、Sallie Mae、Zynga、CA、CaseCentral、HCL Technologies、Hubspan、 LogLogic、Fiberlink、McAfee、Ping Identity、Novell、Qualys、 Solutionary、Symantec、Trend Micro、Veracode、VeriSign、 Vordel、WhiteHat Security、 Zscaler等公司認可,而且持續增加中。
證照永久有效
由於CCSK是以瞭解雲端安全知識為主要目的,因此考試內容並無實際操作項目,而是以知識概念為主,在考題比重上,Security Guidance安全指引約佔70%,而歐洲網路與資訊安全局(ENISA)的「Cloud Computing: Benefits, Risks and Recommendations for Information Security」白皮書則佔20%,其他10%。全部考題為50題的英文選擇題,但必須在60分鐘內完成作答,考試方式則是在家自行上網考試即可,無須到特別指定的考試中心,一次報名費用295美元,可有一次重考的機會。
花俊傑以自身過來人的身份指出,雖然都是選擇題,但是平均一個題目下來也只有一分多鐘的思考時間,要考到八十分過關,其實並不容易。如果對於雲端安全的知識領域不夠熟悉,或是對英文的考題內容不了解,很容易鎩羽而歸。
雖然CCSK一次報名可以有兩次考試機會,不過,他也建議不要連續接著筆試,「沒有到達標準分數就表示還有部分的內容不夠熟悉,緊接著考試並不妥當,最好還是把內容複習過後再來考試,成功機率較高。」
根據瞭解,CCSK證書並沒有設定有效期限,也無規定每年必須修習多少學分才可以持有,唯一有差別的是適用版本,由於Security Guidance安全指引會不定時更新,因此CCSK也會依據更新的安全指引來修正考試內容,故而CCSK的證書上會註明考試時所指定適用的文件版本,而且隨著新版本文件的推出,舊版考試將會設定截止期限,如果已取得舊版本的CCSK證書卻希望更新到新版本時,CSA也會提供已持有證照的人士更新的機會或是重考的費用折扣。