如果想了解雲端服務供應商的安全水準,藉由雲端安全聯盟所提出的雲端開放認證架構,可以作為在選擇服務廠商時的參考。因此,對於廠商而言,確實了解雲端控制矩陣的要求,並且回應已實施的安全控制措施,就顯得十分重要。
上一期我們介紹了雲端安全開放認證架構(Open Certification Framework,OCF),它是一個可以用來評估雲端服務供應商的安全認證標準。在其所要求的三層式架構中,第一步就是要自我描述各項針對雲端服務的安全要求和因應措施,然後將它傳送到CSA的註冊管理單位(STAR Registry)進行審查。
在此一層次中,除了使用自我評估問卷(Consensus Assessments Initiative Questionnaire,CAIQ)之外,直接採用雲端控制矩陣(Cloud Controls Matrix,CCM)所要求的安全控制,更可為第二層需要面對的外部稽核,預先做好準備。
雲端控制矩陣是雲端安全聯盟設計作為評估雲端安全的基礎,也是建議雲端服務供應商可以採用的最佳實務做法,它可歸納為11項控制區域(Control Area)共98個控制措施,並且也能對應到其他的標準法規要求,包括COBIT 4.1、HIPPA/HITECH Act、ISO 27001、NIST SP800-53、FedRAMP、PCI DSS v2.0、AICPA Trust Service Criteria等。導入雲端控制矩陣的目的,就是希望能夠幫助需要遵守許多不同法規的廠商,減輕必須重複實施的相關工作。
對雲端服務供應商而言,若想要符合雲端安全開放認證架構,就必須在CAIQ問卷或雲端控制矩陣的控制區域中,一一具體回應填寫已實施的作法與現況,所以接下來一系列的文章,將會解說雲端控制矩陣中所要求的控制區域,並且搭配ISO 27001標準的實務做法,以協助你能夠有效回應雲端開放認證架構之要求。
法規遵循之控制措施
雲端控制矩陣的第一項控制區域是有關法規遵循的要求,它一共包括了6個控制措施,分別說明如下。
CO-01 稽核計劃
這個控制措施是要求專注在資料複製、存取和儲存邊界限制等相關的稽核計劃、活動和實施項目,應被設計用來降低業務流程中可能發生中斷的風險,因此這些稽核活動必須要提前規畫,並且獲得利害關係人的同意。
實務上可回應的做法可經由內部稽核或資安小組來擬定每年需要實施的稽核計劃,呈交給管理階層審查以獲得同意,然後定期實施並產出稽核報告,再針對不符合事項進行追蹤改善,以降低可能的資料安全風險。
如果雲端服務供應商已導入ISO 27001標準,則可參照「4.2.3 監督與審查」所要求,將利害關係人的建議納入定期審查,以及依所規劃時間來實施內部稽核等做法,作為此控制要求的回應內容。
CO-02 獨立稽核
這個控制措施是要求至少每年一次或定期進行獨立審查和評鑑(例如內稽…外稽、驗證、弱點和滲透測試),以確保符合了相關政策、程序、標準和適用的法規要求。
實務建議的做法為可參照ISO 27001標準的要求,定期進行內部稽核,並由獨立的外部驗證公司進行審查,或是由外部定期進行弱點掃描或滲透測試,實施技術性的獨立查核。
CO-03 第三方稽核
這個控制措施是要求第三方服務供應商,在資訊安全、機密性、服務定義和交付協議及合約中,展現出已遵守相關的法規,同時第三方的報告、記錄和服務,也應當接受定期的稽核與審查,以確保符合服務交付協議所要求的法規遵循。
在實務方面,建議雲端服務供應商可以在與第三方的合約中,明確要求有權定期實施第三方的稽核,或是依據ISO 27001附錄「A.6.2.3第三方協議中的安全說明」,也就是在與第三方所簽定的協議與合約之中,明訂組織的資訊安全要求、應遵守的相關法規,以及違反時需要負起的法律責任等。
CO-04 合約與授權之維護
這個控制措施是要求應按照組織業務和客戶需求,符合相關法律、法規和合約規定,並與當地的政府機關保持聯繫;另外,針對資料、應用程式、基礎設施和硬體,必須確立其適用的法律和管轄權。
建議雲端服務供應商可以指定特定人員作為法律問題和執法當局的聯絡窗口,並且與法律顧問、特定廠商、技術論壇等人員保持聯繫,以便必要時可請求其提供支援。
對此,也可參照ISO 27001標準「A.6.1.6與權責機關的聯繫做法」,擬定適當的作業程序,說明何種事件需要由何人進行通報,包括了哪些需要連繫的權責機關,以及參考「A.6.1.7與特殊利害相關團體的連繫」,平時就要與各種團體、專家協會等保持適當的連繫管道。
CO-05 資訊系統法規對照
這個控制措施是要求法律、法規和合約之要求,在所有資訊系統的元件中都應定義清楚,而組織用來符合已知的要求和新的命令的方法,也應被明確地定義、文件化及更新。