云端安全開放認證架構 評鑑服務供應商安全水準

來源:本站原創 安全技術 超過943 views圍觀 0條評論

花俊杰

隨著云端服務的迅速發展,無論是SaaS、PaaS、IaaS服務,各種云端服務供應商都提供了消費者方便彈性、隨需可用的云端服務,只是在眾多服務的背后,您是否了解廠商對於資安控管和安全責任的要求?是否可以安心地採用云端服務呢?

面對如雨后春筍般出現的云端服務,身為想要採用云端服務的消費者,到底應該如何選擇一個可靠安全的云端服務供應商?事實上并不容易。對用戶而言,公有的云端服務,其實就是一種外包服務,消費者對於廠商的了解,可能來自於品牌印象、其他人的推薦,或是來自於媒體中刊登的廣告,對於價格或服務的內容,也許可以有所了解,但是對於廠商的資料保護能力、服務運作能力,以及資訊安全的管理要求和實施情況呢?或許心中仍然存在著許多的問號。
基本上,由於云端服務本身有著跨越國境和許多用戶同時租用的特性,而且各項行業依照其產業所屬性質的不同,都有其所需要特別遵守的法律法規,再加上各個云端服務供應商對於資安要求的程度不一,因此目前仍然缺乏一個統一的標準,也很難有一個容易實施的方法來進行安全性的評估。
雖然有些業者強調,已經導入了資訊安全管理標準ISO 27001的安全控管要求,但是其驗證的范圍是否包含了云端服務?針對云端服務實施了哪些安全的控制措施,整體的資訊安全水準如何?似乎缺少了一個更透明化的方式,可以讓廣大的消費者得知,并且可以作為選擇云端服務供應商的參考。
云端安全開放認證架構簡介
對於以上所提到種種與安全有關的問題,云端安全聯盟(CSA)已認知到很難有一個單一的安全認證,就可以含括所有服務供應商的安全需求,但是業界又很確切需要有一種公開且可受公評的方式,讓服務供應商可以自我揭露其安全水準,同時也讓消費者獲得可以參考的依據。
因此,在2012年的云端安全會議中,云端安全聯盟基於各項受到產業認可的安全控制目標,提出了云端安全開放認證架構(Open Certification Framework;OCF),可用來作為評估云端服務供應商的安全認證。OCF是基於云端安全聯盟對於治理、風險和法規遵循(Governance, Risk and Compliance Stack)的研究專案,所發展出來的可信賴云端服務認證安全架構,它能夠廣泛地支援多個層次且來自於不同供應商和消費者的安全需求。

▲OCF採取三層式的認證架構。(圖片來源:CSA Open Certification Framework)

云端安全開放認證架構提供了一個可彈性應用的方案,透過三個漸進式的發展層次,從自我評估到外部評鑑的實施,最終的目標是希望能夠持續地監控,以確保各項安全控制措施的有效性,并且也能不斷地改善,以滿足使用者的安全需求。云端安全聯盟指出,服務供應商藉由實現了云端安全開放認證架構的安全控制,將可以達成以下目標:
1. 讓云端服務供應商可以因應各項產業標準和法規的要求,并且採取業界認同的云端安全最佳實務,同時更期許經由政府機關的率先導入,為公眾使用的云端服務,指出了一個明確可行的安全認證要求與方向。
2. 提供了明確的安全指引和工具,像是整合了ISO 27001的云端控制矩陣 (Cloud Controls Matrix;CCM),讓云端服務供應商更易於滿足多項標準的安全要求。CCM是云端安全聯盟設計用來作為評估云端安全的基礎,也是引導服務供應商採用業界的最佳實務作法,除了可以確保其云端服務的安全,同時也能協助云端服務的消費者,藉此來選擇符合其安全要求的云端服務供應商。CCM的控制措施和CSA云端安全關鍵指南中的13項安全領域要求是一致的,并且融合了其他業界常見的安全標準,例如 HITRUST CSF、ISO 27001/27002、ISACA COBIT、PCI、HIPAA和NIST等,也呼應了服務型組織對其內部稽核控制的安全要求,預期將可減少組織同時適用各項法規時,所需要面對的重復稽核問題。
3. 云端安全開放認證架構可作為一項受到業界認可的體制,它能夠支援ISO標準、美國會計師協會(AICPA)和其他相關安全認證架構,簡化并減少需要重復進行各項安全認證的要求。
開放認證架構的評鑑方式
云端安全開放認證架構是一個三層式的架構,從它的底層出發愈往上走,就愈能透明化的展現云端服務供應商的安全控管方式,并且讓消費者獲得更高的安全保證,評鑑的實施方式說明如下。
第一層:STAR自我評鑑(The STAR Self-Assessment)
在這一層次中,云端服務供應商可以提交兩種類型的報告,一種是依據CSA STAR(Security, Trust & Assurance Registry;STAR)的自我評估問卷(Consensus Assessments Initiative Questionnaire;CAIQ),描述各項已符合安全要求的作法與因應措施,然后將它傳送到CSA的註冊管理單位(STAR Registry)來進行審查;而另一種則是依據云端控制矩陣中所要求的98項安全控制措施,逐條回答已經實施的作法以及現況。

云端服務供應商向STAR Registry所提交的自我評鑑報告,云端安全聯盟會在其網站(https://cloudsecurityalliance.org/star/registry/)上提供已認可的註冊記錄,讓公眾可以直接查詢,這些記錄將可以協助云端服務的消費者,了解并評估服務供應商的各項安全控制的作法,目前這項服務無論是註冊或查詢,都是可以免費進行的。
在這個評鑑階段中,由云端安全聯盟所提供可免費下載的自我評估問卷(CAIQ),提供了超過140項針對云端服務供應商、消費者和云端安全稽核人員可能想要了解的安全問題,服務供應商可以自行填答(Yes or No)并提出描述說明,透過自我揭露的各項安全作法,用來作為消費者在選擇云端服務時,可評估安全風險的最佳參考資料。
服務供應商必須確保自我評鑑的更新週期,不得小於12個月,也就是說至少每年都需要重新自我評鑑一次,以確保各項安全控制措施的更新,能夠及時反應在評鑑的內容之中。如果沒有及時更新,云端安全聯盟會將未更新的報告註記為不認同,如果超過一年六個月都還沒有更新的話,就會直接將這筆記錄從註冊資料庫中移除。

▲CSA STAR網站提供公眾可查詢的廠商註冊記錄。

第二層:STAR認證—第三方獨立評鑑(STAR Certification – Third PartyAssessment)
在第二層的評鑑之中,云端安全聯盟將會結合ISO 27001和云端控制矩陣的安全控制措施要求,透過第三方驗證單位(目前配合的驗證單位是BSI英國標準協會)來實施獨立的安全查核,針對云端系統的成熟度進行評分。
這項安全查核將採用國際標準普遍應用的規劃、實施、檢查、改善行動(PDCA)原則,并依照云端控制矩陣中對云端系統的安全要求來進行,最后所獲得已量化的評分,即可作為管理階層進行評估改善的參考。
第三層:基於認證的持續監控(Continuous Monitoring based Certification)
第三層是CSA STAR認證的延伸,目標是希望透過持續蒐集到的稽核證據,即時地監控云端安全的控制,以期符合消費者的安全要求,此一階段的實施做法,目前則還在發展之中。
云端安全開放認證的實施現況
目前,云端安全開放認證架構仍處於先期的導入計畫階段,已經實施的是第一層的自我評鑑要求,已經獲得許多云端服務供應商的響應參與。第二層的做法預計在2013年開始執行,至於第三層的持續監控要求,預計最晚會在2015年完成。
對云端服務供應商而言,實施導入云端安全開放認證架構的安全要求,不是為了追求另外一項認證,而是能夠具體的提供其云端服務安全管理的證明,同時也確認自己有能力來因應可能發生的安全事件,能夠降低云端服務的營運風險,建立消費者對於業者的信心。
至於對消費者來說,則是獲得了一個透明公開的管道,可以得知云端服務供應商的安全管理要求與實際做法,評估是否與自身的安全需求能夠趨於一致,并且可以滿足組織的安全政策與要求。
<本文作者花俊杰曾任IT雜誌主編、資安顧問,擁多種資訊安全相關認證,自詡為資安傳教士,也歡迎讀者透過[email protected]與之分享資安心得。>

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3234轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏