隨著雲端服務的迅速發展,無論是SaaS、PaaS、IaaS服務,各種雲端服務供應商都提供了消費者方便彈性、隨需可用的雲端服務,只是在眾多服務的背後,您是否了解廠商對於資安控管和安全責任的要求?是否可以安心地採用雲端服務呢?
雲端服務供應商向STAR Registry所提交的自我評鑑報告,雲端安全聯盟會在其網站(https://cloudsecurityalliance.org/star/registry/)上提供已認可的註冊記錄,讓公眾可以直接查詢,這些記錄將可以協助雲端服務的消費者,了解並評估服務供應商的各項安全控制的作法,目前這項服務無論是註冊或查詢,都是可以免費進行的。
在這個評鑑階段中,由雲端安全聯盟所提供可免費下載的自我評估問卷(CAIQ),提供了超過140項針對雲端服務供應商、消費者和雲端安全稽核人員可能想要了解的安全問題,服務供應商可以自行填答(Yes or No)並提出描述說明,透過自我揭露的各項安全作法,用來作為消費者在選擇雲端服務時,可評估安全風險的最佳參考資料。
服務供應商必須確保自我評鑑的更新週期,不得小於12個月,也就是說至少每年都需要重新自我評鑑一次,以確保各項安全控制措施的更新,能夠及時反應在評鑑的內容之中。如果沒有及時更新,雲端安全聯盟會將未更新的報告註記為不認同,如果超過一年六個月都還沒有更新的話,就會直接將這筆記錄從註冊資料庫中移除。
 |
| ▲CSA STAR網站提供公眾可查詢的廠商註冊記錄。 |
第二層:STAR認證—第三方獨立評鑑(STAR Certification - Third PartyAssessment)
在第二層的評鑑之中,雲端安全聯盟將會結合ISO 27001和雲端控制矩陣的安全控制措施要求,透過第三方驗證單位(目前配合的驗證單位是BSI英國標準協會)來實施獨立的安全查核,針對雲端系統的成熟度進行評分。
這項安全查核將採用國際標準普遍應用的規劃、實施、檢查、改善行動(PDCA)原則,並依照雲端控制矩陣中對雲端系統的安全要求來進行,最後所獲得已量化的評分,即可作為管理階層進行評估改善的參考。
第三層:基於認證的持續監控(Continuous Monitoring based Certification)
第三層是CSA STAR認證的延伸,目標是希望透過持續蒐集到的稽核證據,即時地監控雲端安全的控制,以期符合消費者的安全要求,此一階段的實施做法,目前則還在發展之中。
雲端安全開放認證的實施現況
目前,雲端安全開放認證架構仍處於先期的導入計畫階段,已經實施的是第一層的自我評鑑要求,已經獲得許多雲端服務供應商的響應參與。第二層的做法預計在2013年開始執行,至於第三層的持續監控要求,預計最晚會在2015年完成。
對雲端服務供應商而言,實施導入雲端安全開放認證架構的安全要求,不是為了追求另外一項認證,而是能夠具體的提供其雲端服務安全管理的證明,同時也確認自己有能力來因應可能發生的安全事件,能夠降低雲端服務的營運風險,建立消費者對於業者的信心。
至於對消費者來說,則是獲得了一個透明公開的管道,可以得知雲端服務供應商的安全管理要求與實際做法,評估是否與自身的安全需求能夠趨於一致,並且可以滿足組織的安全政策與要求。
<本文作者花俊傑曾任IT雜誌主編、資安顧問,擁多種資訊安全相關認證,自詡為資安傳教士,也歡迎讀者透過jackforsec@gmail.com與之分享資安心得。>