https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

兩大雲端標準陸續問世 台灣業者爭相取得

2014 / 12 / 22
編輯部
兩大雲端標準陸續問世 台灣業者爭相取得

隨著雲端技術日漸成熟,企業採用公有雲意願逐漸增加,全球雲端應用服務已如百花齊放般蓬勃發展,根據工研院IEK研究中心公佈的研究報告顯示,台灣雲端服務產值可望從2012年的70億,大幅成長至在2015年的150億。只是在雲端服務供應商不斷增加的狀況下,缺乏一個簡單易懂的的評斷標準,不僅造成企業選擇上的困擾,若未來走向削價競爭的紅海市場時,恐怕還會引起企業對雲端服務的種種疑慮,反而不利於雲端產業的長遠發展。

SGS國際驗證服務部雲端服務驗證方案全球產品經理何星翰說:「為了降低企業用戶對公有雲的疑慮,不少業者都會在資安、可靠度上下少功夫,但卻因為沒有取得雲端認證,往往很難獲得企業用戶的信任。全球目前已有兩項針對雲端服務設計的驗證制度,其中CSA-STAR / OCF標準著重資安,以確保雲端資料安全無虞,至於EuroCloud Star Audit(歐洲雲服務聯盟第三方星級驗證機制)則是強調雲服務SLA,重視雲端業者合約履行能力,而在市面上眾多檢驗機構中,SGS是為唯一具備兩種雲端驗證資格服務的第三方驗證機構。」

CSA-STAR / OCF標準重資安 保護雲端資料安全無虞

長久以來,ISO/IEC 27001資訊安全驗證一直是被廣泛採用的國際資訊安全管理系統標準,主要是從落實控制各種資訊安全風險做起,以有效保護企業資訊安全。但是對雲端需求業者而言,因產業特性遠比企業環境複雜,即便是相當嚴格的ISO/IEC 27001規範,依然無法涵蓋營運項目的安全。有鑑於此,雲端安全聯盟與產業工作小組便聯合打造CSA-STAR / OCF標準,藉此解決雲端供應業者面臨的特定安全問題,以便能夠提供雲端使用者一個真正安全無虞的雲端環境。

CSA-STAR / OCF標準是ISO/IEC 27001為基礎,主要專注於雲端服務之「安全性」,搭配雲端控制矩陣(Cloud Control Matrix,CCM)的要求,運用成熟度模型和評估方法,綜合評估組織雲端安全管理和技術能力,再依照得分高低,授予金牌、銀牌、銅牌的認證。在新版的CCM V3.0.1規範中,主要是針對16個控制措施領域進行檢驗,每個領域都有其對應控制措施,會依照實際狀況給與該組織適當的分數。

何星翰表示:「CSA-STAR / OCF標準非常重視資訊安全,因此是由風險評鑑角度出發,也就是以ISO 27001為基礎,評估雲端服務供應商中關於各領域雲端專屬控制措施。由於取得CSA-STAR / OCF標準的整體費用較高,所以比較適合超大型、大型雲端服務營運商,目前已經有Amazon、阿里巴巴、HP、中華電信、遠傳電信等13家大型業者取得驗證。而SGS於2014年6月25日完成簽約取得驗證機構資格,並於9月28日完成20位稽核員,有足夠能力為台灣雲端業者進行檢驗。」

EuroCloud Star Audit強調雲服務SLA 重視雲服務合約履行能力

相較於CSA-STAR / OCF標準著重於資訊安全的審核,由歐洲雲服務聯盟推廣的EuroCloud Star Audit,則是特別為基礎設施即服務IaaS、平台即服務PaaS與軟體即服務SaaS所設計,主要為確認雲服務提供過程能符合合約保證條文,有關資料安全、技術操作及組織維運流程等構面。

為了讓有意使用雲端服務的企業或消費者,能夠明瞭雲端服務商是否具備履行合約的能力,歐洲雲服務聯盟也設計了一組標章,分別以星級來辨別,以便顯示服務商在合約符合性、技術性及組織性構面,均符合特定級別的要求。

星級的說明
一星:基本機房安全作業、合約協議、終止與資料使用規諫
二星:客戶資料管理保護、服務備援基本作業、量化審查與驗證、服務分析報告合約達成進度
三星:資料安全與資料隱私、法令規範與司法管轄、客戶訓練與支援服務、服務提供與承諾現場稽核
四星:資訊安全管理(ISO 27001)、資訊服務管理(ITIL/ISO 20000)、服務備援、服務品質管理、存取管制與加密機制
五星:營運持續BCP演練、進接資料中心備援、高可用度、滲透入侵測試、彈性服務提供定價模式

何星翰說:「EuroCloud Star Audit不像CSA-STAR / OCF標準著重於資訊安全,而是重視資訊安全、資訊服務管理、營運持續管理等面向的均衡發展,更重視雲服務合約之審查,以及做好雲服務管理最大目標。該標準主要是希望藉由IaaS、PaaS、SaaS服務商分層合作,達成雲端產業鏈的安全,因此整體檢驗費用較為合理,加上未要求須通過ISO 27001驗證,所以適合剛切入雲端服務市場的業者。而SGS已於2014年2月19日與EuroCloud Europe (ECE)簽約完成,成為EuroCloud Star Audit亞洲第一家認可之執行驗證機構。」

在雲端產業競爭日趨激烈的狀況下,SGS建議雲端服務供應商應該依照本身營運狀況,盡快取得CSA-STAR / OCF、EuroCloud Star Audit認證,才能建立本身的競爭優勢,避免日後陷入削價競爭的困境。