雲端安全治理及雲端驗證稽核標準探討(下篇)

雲端運算: 驗證及稽核標準
針對雲端運算架構及安全治理，目前已經有許多國際組織發展出相對的標準並提供獨立第三方驗證。對雲端服務供應商而言，導入並通過雲端架構及安全的驗證可增強其管控能力並得以國際標準來回應用戶及主管機關對降低營運風險的要求，同時也可藉此增加用戶信賴，以利其業務推展。對雲端用戶而言，則可以藉此確認雲端服務供應商的安全管理已達一定水準，更可以此評估及選擇最適合其組織安全與治理要求的供應商。以下筆者就對國際上主要的雲端第三方獨立驗證架構做一介紹及比較。

美國會計師協會(AICPA: American Institute of CPAs): SOC Report
於 1993 年開始實施 SAS 70，作為 Service Organization (服務提供者) 內控有效性的獨立驗證機制，主要重點為財務報告相關之控制。後被廣為延伸應用於其他領域。目前多數國際知名之大型雲端服務提供者，皆有進行 SAS 70 驗證。AICPA後於 2011年宣布實施 SOC (Service Organization Controls) Report 第三方獨立驗證架構及相關指引以取代原 SAS 70，並揭櫫各類 SOC Report 之用途；其中SOC 1 Report(又稱 SSAE16 或 ISAE 3402)，取代原 SAS 70 ，並著重於財務報導相關之控制。
SOC 2 / SOC 3 Report則是針對企業組織之 Security、Availability、Processing Integrity、Confidentiality、及/或 Privacy 等五大領域 (可自行選擇組合) 的控制評估。此架構很適合用來對雲端環境進行評估，且AICPA 亦於 SOC Report 指引中，提出應用於雲端服務時應注意事項，並建議可參考整合其他權威組織之文獻，如 CSA、NIST、及 ENISA。目前許多大型雲端服務提供者如Amazon Web Services、Google Apps、Microsoft Windows Azure等皆已通過SOC 2 and/or SOC3驗證。
SOC Report稽核類型分為Type I和Type II兩種，其特性如下表所示:

      表一: SOC Report Type I & Type II特性

執行 Type 2 Report 之時間與成本高於 Type 1，但基於對於企業組織之實用性，目前 Service Organization 大多採用 Type 2 Report。

雲端安全聯盟(CSA, Cloud Security Alliance):STAR驗證
雲端安全聯盟於2008年底成立，會員包括雲端廠商及企業。其致力於在雲端運算環境下提供最佳的安全方案。在2009年底，CSA發佈了新版的《雲端安全指南》，代表著雲端運算和安全業界對於雲端運算及其安全保護的認識。2011年，CSA推出了數個重要的研究專案，包括雲端安全指南3.0、CSA知識驗證CCSK及CSA STAR驗證計畫等。針對其CSA STAR驗證計畫，CSA 於2012 下半年開始制定 Open Certification Framework (OCF；開放式驗證框架)，以提供不同程度的信賴強度：從最基本的 CSA STAR 自評 、到 CSA STAR 第三方獨立驗證、及最嚴謹的持續性確保機制 (發展中)；此外，OCF 亦將提供與現有框架 (如 AICPA SOC) 之承認機制。 [Next Page]

在2013年第三季，CSA和BSI正式宣布推出STAR驗證 (STAR Certification)，其結合了ISO 27001資安管理系統的要求，並藉由整合雲端控制矩陣(CCM: Cloud Control Matrix)，最終以成熟度評量的方式來決定雲端服務的安全水準。目前全球通過STAR驗證並取得成熟度銀牌的有三個組織:分別為英國HP與Pulsant以及中國的阿里巴巴。但至今尚未有任何一家組織取得最高成熟度的金牌。

歐洲雲端聯盟(EuroCloud ):星級稽核驗證(Star Audit)
EuroCloud為一獨立且非營利性組織。其目的以協助歐洲國家政府及雲端服務提供者強化其雲端治理及雲端安全管理。自2012年起便致力於推展「歐洲雲端聯盟星級稽核驗證」(Star Audit)，其由相關測試標準的主管機關、研究機構、雲端服務提供商、法規專家與財務稽核協會等單位共同討論訂定，可應用於IaaS、PaaS與SaaS等不同層面的雲端服務。此機制就服務商狀況、合規性要求、安全、設施、作業程序、應用與導入等項目，將雲端服務供應商分成五個星級。取得五星標章的雲端服務將具備高可用度、可信賴的特性。
目前EuroCloud以泛歐地區國家為主推動其驗證稽核架構。在國內部分，台灣科技化服務協會(itSMA)也在2013年十月推動了資策會與歐洲雲端聯盟簽訂歐洲雲端聯盟星級稽核驗證(EuroCloud Star Audit)合作意向書(Letter of Intent: LOI)，希望能由歐洲雲端聯盟協助台灣推動國際雲端稽核驗證制度，但目前仍在起步階段。

表二: 國際雲端第三方獨立驗證架構比較

結語
在複雜多變的雲端世界裡，雲端安全性和治理的有效性一直是用戶最在意同時也是對雲端供應商最大的挑戰。希望藉由本篇文章的介紹能對此議題提供有用的資訊。更希望雲端供應商能藉由國際獨立驗證架構的導入以提供用戶最全面且安全的雲端服務。


(本文作者現任職於KPMG安侯建業)

 閱讀: 雲端安全治理及雲端驗證稽核標準探討(上篇)