上篇談到建立雲服務可信度從驗標準或驗證制度開始,接下來將續談剖析雲服務的標準。
CSA STAR:驗證雲服務的資安管理能力
CSA STAR以ISO/IEC 27001認證為基礎,專注於雲端服務之「安全性」所設計的標準,它強調的不是雲服務供應商有無遵循條款,而是如何進行資安管理。
吳晟熙指出,CSA STAR以雲端安全聯盟(CSA STAR)所提出的雲端安全控制矩陣(CCM),共16個控制區域及133個控制措施作為評鑑準則,再運用BSI所制定的管理能力模式,綜合評估雲服務供應商在每一個區域的雲端安全管理和技術能力,統計出總分(共有15分)後,再依據分數高低歸類至銅牌、銀牌、金牌三個等級,不過自2015年起,CSA要求證書上不得揭露獎牌等級,只能出現在稽核報告中。
目前CSA STAR中的16個控制區域分別是:應用程式介面安全(AIS)、稽核審查與法規遵循(AAC)、業務持續管理和營運彈性(BCR)、變更控制與組態管理(CCC)、資料安全與資訊生命周期的管理(DSI)、資料中心的安全(DCS)、加密與金鑰管理(EKM)、治理與風險管理(GRM)、人力資源(HRS)、識別與存取管理(IAM)、基礎設施及虛擬化安全(IVS)、資料互通性及可攜性(IPY)、行動安全(MOS)、安全事件管理、搜尋與雲證據(SEF)、供應鏈管理與責任(STA)、威脅與弱點管理(TVM)。
從這16個控制面向來看,CSA STAR除了站在ISO 27001的基礎上向雲端延伸,也有一些因應雲服務而新增的要求,例如:應用程式介面安全、基礎設施及虛擬化安全、資料互通性及可攜性、行動安全。
由於CSA STAR把安全規格拉得很高,有些甚至會直接對應到解決方案,如上述談到的行動安全,在標準中便直接點出須導入行動設備管理解決方案(MDM),雲端供應商若要取得較高分數,勢必得投入一定成本並建置相關工具,也因此雖然市場知名度高,但認證張數並不多,大部份雲端供應商選擇自我評鑑的方式。
雲端安全聯盟在提出雲端安全控制矩陣不久後,便發佈了開放認證框架(Open Certification Framework),共分成自我評鑑(Level 1)、認證(Level 2)及持續監視(Level 3)三個等級。自我評鑑是由雲服務供應商填寫問卷,自行宣告對CCM的遵循程度,並上傳至CSA官方網站,Level 2以上才是由第三方認證機構進行評鑑。
STAR Audit:保護雲服務使用者權益
STAR Audit(雲服務星級驗證制度)是歐盟官方認可的雲端驗證標準之一,適用於SaaS、PaaS、IaaS等不同層面的雲端服務。何星翰強調,STAR Audit是從使用者角度出發的驗證制度,不只關注在雲服務的資安控制措施,更在意對使用者權益的保護,例如:在變更合約前必須先通知客戶,而客戶可以在3個月內決定是否要解約、必須在合約內列出客戶可以終止合約的理由、客戶可以指定資料要存放在哪一個國家的機房(前提是該雲服務供應商在多個據點佈建機房)、如果遇到不正常合約終止情況時,不能任意刪除客戶資料。
ISO 19086:建立雲服務SLA的共同概念
ISO 19086是一個驗證雲服務透明度與信任度的標準。過往,雲服務供應商和使用者對雲服務SLA沒有相同想法,導致使用者對雲服務供應商抱持不正確的期待,因此在ISO 19086中便明確指出,一個完整的雲服務SLA首先要說明以下五大政策:可接受的使用政策、安全政策、資料保護政策、業務持續政策、終止政策,這五個大方向往下又可以展開14個項目:
1. 存取方式(Accessibility)
2. 可用性(Availability)
3. 效能(Performance)
4. 反應時間(response time)
5. 容量(capacity):即能否隨時滿足客戶擴充容量的需求
6. 個人資料的保護方式
7. 資訊安全政策與措施
8. 服務終止相關規範
9. 客服能力
10. 恢復服務的能力/災難備援
11. 資料管理政策與做法
12. 資料可攜性:即客戶能否將資料轉移至其他平台
13. 資料刪除作法
14. 有無取得稽核或證書
至於企業該如何要求每一個項目所要達到的標準,則可分成雲端服務水準目標(SLO)、雲端服務品質目標(SQO)兩種。SLO適用於可以訂出具體量化指標的SLA條款,例如:雲服務反應時間要在8秒以內,至於無法列出量化指標的項目,則可應用SQO概念,從管理面來要求雲服務供應商,例如:資安管理要通過ISO 27001的驗證。
產業主管機關管理辦法
除了雲服務相關的國際標準或驗證制度外,企業在評估雲服務供應商時,還需要考慮到有沒有產業法規的限制。
舉例來說,新加坡信息技術標準委員會(ITSC)所制定的多層雲端安全認證(Multi-Tier Cloud Security; MTCS),便要求雲服務供應商必須把資料存在新加坡機房。何星翰指出,對於企業資料存放地點,其實各國政府的態度都一樣,希望雲服務供應商把當地企業客戶的資料存在本國機房,未來若遇到爭議,企業才能受到本國法規的保護,只是有些有明確規範,有些沒有罷了。
英國的政府雲服務(G-cloud)對雲端供應商的管理,採取比較開放自由的態度,其在網站上列出跟雲端安全有關的51個問題,每個問題預設1~6種答案,每1個答案代表1~6分,由雲服務供應商自行選擇答案並加總分數後,就進入了雲市集,讓需要使用雲服務的公部門可以採購,而這個總分代表著雲服務供應商的服務品質,公部門在採購時可依自身預算和需求,選擇適合的雲服務供應商,同時,G-cloud也協同民間力量組成稽核團隊,每年抽選市場中20%的供應商進行查檢,若發現供應商自評分數與事實不合就立即下架,確保市集內雲服務供應商的資訊透明度與可信度。
回到台灣來看,吳晟熙表示,對於雲端服務的使用與管理,各產業主管機關目前並沒有明確的條文或規範,只有一些周邊相關政策,例如:金融業要求銀行必須將客戶資料存放在境內,政府機關則正在研擬公部門採購雲端服務的辦法。何星翰則補充談到電信業,由NCC與全國認證基金會(TAF)共同合作,將ISO 27017轉化成電信事業資通訊安全驗證基準/增項稽核表。
何星翰進一步指出,政府正計畫將ISO 19086條款譯成中文,未來將據此制定一份規格表,雲服務供應商根據規格表撰寫SLA,並送到資策會成立的雲端開發測試平台進行實測,實測結果若與SLA所記載的內容一致就能上架,公部門若需要使用雲端服務便可透過共同採購契約去購買。
雲端運算已經是無可避免的趨勢,企業/組織也必須正視因為雲端運算所帶來的衝擊與挑戰,從成本、功能、與合約/SLA全面檢視雲服務,藉由驗證制度或國際標準來強化使用信心與信賴度,才能透過雲端服提高IT應用的效率與彈性。
閱讀上篇 建立雲服務可信度從驗標準或驗證制度開始 文章