隨著雲端服務的應用愈來愈普及,要如何評估雲端服務的安全性,這時是否取得了相關的國際認證,就成為重要的參考指標。
時至今日,有許多的政府單位和企業組織已逐漸地採用各式各樣的雲端服務,例如:雲端上的郵件服務、儲存空間、應用軟體及虛擬主機等。在採用雲端服務的效益方面,對於使用雲端服務已經數年的組織而言,都相當地肯定雲端服務的確為組織強化了資訊服務可用性、降低了營運成本,以及帶來高度彈性可擴充的能力。
根據Crowd Research Partners最新發佈的2016雲端安全研究報告指出,在受訪者中有91%的組織對於雲端服務的安全性仍是相當關注的,也就是說,目前影響組織採用雲端服務的主要障礙,還是來自於安全的疑慮、擔心資料遺失或外洩風險,以及需合乎相關法令法規的要求等。
但對資訊人員而言,調查顯示最頭痛的問題則是如何確認雲端服務的安全政策與組織的要求一致、如何了解基礎設施的可見度,以及確保雲端服務能夠與既有的資安法規和標準要求接軌等三項議題。
事實上,雲端安全的相關議題的確突顯了現今的雲端服務,無論是站在使用者的角度要選擇安全可靠的服務提供商,或是站在服務提供商的角度來確保雲端服務的安全性,都迫切需要找到一個彼此認可且具有公正性、代表性的指標,才能作為評估的基礎,而參考雲端安全相關的國際標準,就成為一個最佳的解決方案。
|
▲圖1 雲端安全三大國際標準之適用對象。 |
選擇最適用的雲端國際標準
目前和雲端安全有關的認證和國際標準主要有三個,分別是CSA STAR認證、ISO /IEC 27017和ISO/IEC 27018,以下分別簡要地說明標準的特性和其適用的驗證對象。
CSA STAR
CSA STAR認證是在2013年底由雲端安全聯盟(CSA)和英國標準協會(BSI),共同宣佈針對雲端服務提供商所實施的國際認證,這項認證是基於通過ISO/IEC 27001資訊安全管理系統(ISMS)的要求,並且再藉由實施雲端控制矩陣(CCM)的控制措施,以成熟度的方式來評估雲端服務提供商的安全水準,藉此來突顯組織可能需要持續改善的區域,並且確保標準的符合性,不會成為組織對於資安的最低要求。
有關取得CSA STAR認證的必要條件和評估方式,可參考先前在網管人網站已刊出的「準備因應CCM稽核,及早取得STAR認證」一文。
ISO/IEC 27017
ISO/IEC 27017是由ISO組織在2015年12月15日正式公布的雲端安全國際標準,基本上它仍採用ISO/IEC 27001附錄A所要求的控制措施,不過針對雲端安全的部份,它也要求強化了對於雲端服務相關人員的職責區隔、虛擬環境的隔離、虛擬主機的強化、虛擬網路的管理,以及系統管理者的操作安全和雲端服務的監控機制等。
基本上,ISO/IEC 27017不是一個獨立可驗證的標準,而是必須以ISO/IEC 27001做為基礎,在雲端服務的範圍內先取得ISO/IEC 27001證書後,再經由第三方的稽核驗證來證明組織同樣也實施遵循了ISO/IEC 27017有關雲端安全的要求。
ISO/IEC 27017使用了延伸自ISO/IEC 27001的37個控制措施,並且再加上7個增項的控制措施,在標準中特別強調在雲端服務中,客戶和提供商各自需要負起的安全責任。以ISO/IEC 27001附錄A中「A.6.1.1 資訊安全之角色及責任」為例,在ISO/IEC 27017中針對雲端服務使用者的要求是「雲端服務客戶應以書面化的協議載明雙方於雲端運算環境內的資訊安全角色及責任,並且應識別和管理雲端服務提供商的客戶支援和關懷功能」。
針對雲端服務提供商方面,則是要求「雲端服務提供商應和雲端服務客戶、本身服務的提供商、和它的供應者以書面化的協議載明各自於雲端運算環境內的資訊安全角色及責任。」
另外,以「CLD 12.4.5雲端服務的監視」增項的控制措施為例,對雲端服務使用者的要求是「雲端服務客戶應向雲端服務提供商要求每一個雲端服務的監視功能資訊」。
而針對雲端服務提供商方面,則是要求「雲端服務提供商應提供日誌存錄的功能給客戶;應讓客戶能監視其雲端服務的運作,例如:監視和偵測雲端服務是否作為攻擊他人的平台,或是敏感資料從雲端服務上外洩;適當的存取控制應保全監視功能的使用,讓每個客戶只能存取自身雲端服務的資訊;應提供雲端服務客戶服務監視功能的文件;監視應提供與A.12.4.1事件日誌一致的資訊和支持SLA條款。」