云端安全开放认证架构 评鑑服务供应商安全水準

来源:本站原创 安全技术 超过728 views围观 0条评论

花俊杰

随着云端服务的迅速发展,无论是SaaS、PaaS、IaaS服务,各种云端服务供应商都提供了消费者方便弹性、随需可用的云端服务,只是在眾多服务的背后,您是否了解厂商对於资安控管和安全责任的要求?是否可以安心地採用云端服务呢?

面对如雨后春笋般出现的云端服务,身為想要採用云端服务的消费者,到底应该如何选择一个可靠安全的云端服务供应商?事实上并不容易。对用户而言,公有的云端服务,其实就是一种外包服务,消费者对於厂商的了解,可能来自於品牌印象、其他人的推荐,或是来自於媒体中刊登的广告,对於价格或服务的内容,也许可以有所了解,但是对於厂商的资料保护能力、服务运作能力,以及资讯安全的管理要求和实施情况呢?或许心中仍然存在着许多的问号。
基本上,由於云端服务本身有着跨越国境和许多用户同时租用的特性,而且各项行业依照其產业所属性质的不同,都有其所需要特别遵守的法律法规,再加上各个云端服务供应商对於资安要求的程度不一,因此目前仍然缺乏一个统一的标準,也很难有一个容易实施的方法来进行安全性的评估。
虽然有些业者强调,已经导入了资讯安全管理标準ISO 27001的安全控管要求,但是其验证的范围是否包含了云端服务?针对云端服务实施了哪些安全的控制措施,整体的资讯安全水準如何?似乎缺少了一个更透明化的方式,可以让广大的消费者得知,并且可以作為选择云端服务供应商的参考。
云端安全开放认证架构简介
对於以上所提到种种与安全有关的问题,云端安全联盟(CSA)已认知到很难有一个单一的安全认证,就可以含括所有服务供应商的安全需求,但是业界又很确切需要有一种公开且可受公评的方式,让服务供应商可以自我揭露其安全水準,同时也让消费者获得可以参考的依据。
因此,在2012年的云端安全会议中,云端安全联盟基於各项受到產业认可的安全控制目标,提出了云端安全开放认证架构(Open Certification Framework;OCF),可用来作為评估云端服务供应商的安全认证。OCF是基於云端安全联盟对於治理、风险和法规遵循(Governance, Risk and Compliance Stack)的研究专案,所发展出来的可信赖云端服务认证安全架构,它能够广泛地支援多个层次且来自於不同供应商和消费者的安全需求。

▲OCF採取三层式的认证架构。(图片来源:CSA Open Certification Framework)

云端安全开放认证架构提供了一个可弹性应用的方案,透过三个渐进式的发展层次,从自我评估到外部评鑑的实施,最终的目标是希望能够持续地监控,以确保各项安全控制措施的有效性,并且也能不断地改善,以满足使用者的安全需求。云端安全联盟指出,服务供应商藉由实现了云端安全开放认证架构的安全控制,将可以达成以下目标:
1. 让云端服务供应商可以因应各项產业标準和法规的要求,并且採取业界认同的云端安全最佳实务,同时更期许经由政府机关的率先导入,為公眾使用的云端服务,指出了一个明确可行的安全认证要求与方向。
2. 提供了明确的安全指引和工具,像是整合了ISO 27001的云端控制矩阵 (Cloud Controls Matrix;CCM),让云端服务供应商更易於满足多项标準的安全要求。CCM是云端安全联盟设计用来作為评估云端安全的基础,也是引导服务供应商採用业界的最佳实务作法,除了可以确保其云端服务的安全,同时也能协助云端服务的消费者,藉此来选择符合其安全要求的云端服务供应商。CCM的控制措施和CSA云端安全关键指南中的13项安全领域要求是一致的,并且融合了其他业界常见的安全标準,例如 HITRUST CSF、ISO 27001/27002、ISACA COBIT、PCI、HIPAA和NIST等,也呼应了服务型组织对其内部稽核控制的安全要求,预期将可减少组织同时适用各项法规时,所需要面对的重复稽核问题。
3. 云端安全开放认证架构可作為一项受到业界认可的体制,它能够支援ISO标準、美国会计师协会(AICPA)和其他相关安全认证架构,简化并减少需要重复进行各项安全认证的要求。
开放认证架构的评鑑方式
云端安全开放认证架构是一个三层式的架构,从它的底层出发愈往上走,就愈能透明化的展现云端服务供应商的安全控管方式,并且让消费者获得更高的安全保证,评鑑的实施方式说明如下。
第一层:STAR自我评鑑(The STAR Self-Assessment)
在这一层次中,云端服务供应商可以提交两种类型的报告,一种是依据CSA STAR(Security, Trust & Assurance Registry;STAR)的自我评估问卷(Consensus Assessments Initiative Questionnaire;CAIQ),描述各项已符合安全要求的作法与因应措施,然后将它传送到CSA的註册管理单位(STAR Registry)来进行审查;而另一种则是依据云端控制矩阵中所要求的98项安全控制措施,逐条回答已经实施的作法以及现况。

云端服务供应商向STAR Registry所提交的自我评鑑报告,云端安全联盟会在其网站(https://cloudsecurityalliance.org/star/registry/)上提供已认可的註册记录,让公眾可以直接查询,这些记录将可以协助云端服务的消费者,了解并评估服务供应商的各项安全控制的作法,目前这项服务无论是註册或查询,都是可以免费进行的。
在这个评鑑阶段中,由云端安全联盟所提供可免费下载的自我评估问卷(CAIQ),提供了超过140项针对云端服务供应商、消费者和云端安全稽核人员可能想要了解的安全问题,服务供应商可以自行填答(Yes or No)并提出描述说明,透过自我揭露的各项安全作法,用来作為消费者在选择云端服务时,可评估安全风险的最佳参考资料。
服务供应商必须确保自我评鑑的更新週期,不得小於12个月,也就是说至少每年都需要重新自我评鑑一次,以确保各项安全控制措施的更新,能够及时反应在评鑑的内容之中。如果没有及时更新,云端安全联盟会将未更新的报告註记為不认同,如果超过一年六个月都还没有更新的话,就会直接将这笔记录从註册资料库中移除。

▲CSA STAR网站提供公眾可查询的厂商註册记录。

第二层:STAR认证—第三方独立评鑑(STAR Certification – Third PartyAssessment)
在第二层的评鑑之中,云端安全联盟将会结合ISO 27001和云端控制矩阵的安全控制措施要求,透过第三方验证单位(目前配合的验证单位是BSI英国标準协会)来实施独立的安全查核,针对云端系统的成熟度进行评分。
这项安全查核将採用国际标準普遍应用的规划、实施、检查、改善行动(PDCA)原则,并依照云端控制矩阵中对云端系统的安全要求来进行,最后所获得已量化的评分,即可作為管理阶层进行评估改善的参考。
第三层:基於认证的持续监控(Continuous Monitoring based Certification)
第三层是CSA STAR认证的延伸,目标是希望透过持续蒐集到的稽核证据,即时地监控云端安全的控制,以期符合消费者的安全要求,此一阶段的实施做法,目前则还在发展之中。
云端安全开放认证的实施现况
目前,云端安全开放认证架构仍处於先期的导入计画阶段,已经实施的是第一层的自我评鑑要求,已经获得许多云端服务供应商的响应参与。第二层的做法预计在2013年开始执行,至於第三层的持续监控要求,预计最晚会在2015年完成。
对云端服务供应商而言,实施导入云端安全开放认证架构的安全要求,不是為了追求另外一项认证,而是能够具体的提供其云端服务安全管理的证明,同时也确认自己有能力来因应可能发生的安全事件,能够降低云端服务的营运风险,建立消费者对於业者的信心。
至於对消费者来说,则是获得了一个透明公开的管道,可以得知云端服务供应商的安全管理要求与实际做法,评估是否与自身的安全需求能够趋於一致,并且可以满足组织的安全政策与要求。
<本文作者花俊杰曾任IT杂誌主编、资安顾问,拥多种资讯安全相关认证,自詡為资安传教士,也欢迎读者透过jackforsec@gmail.com与之分享资安心得。>

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=3234转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

快捷键:Ctrl+Enter