雲端運算及服務在全球已經不再僅僅是崛起的新興科技,雲端運算及服務已經逐漸成為企業組織及個人日常作業或生活中的一環。舉凡從我們個人日常使用的Google、Apple等服務 (如Google Docs、iCloud等),到企業組織使用的關鍵應用系統、流程及資料儲存等 (如CRM, corporate OA service, IT基礎設施等) 都漸漸的脫離不了雲端運算及服務的範疇。
雲端運算及服務提供了諸多便利性及優勢,例如:
* 軟、硬體資源共享: 企業組織不再需要花費大量資源及成本建置及維運資訊基礎設施;
* 成本效益的提升甚至節能減碳: 台灣大部分的資訊中心其能源使用效率PUE (Power Usage Effectiveness) 大約都在2.5左右(PUE=資料中心總用電量/IT設備總用電量)。資訊中心的用電大致可區分為四個部份:IT設備 + 空調系統 + 電源系統 + 照明系統。以PUE = 2.5為例,表示當IT設備一年所需的電費是1000萬,則其他三類系統就需要花費1500萬的電費 (總電費為2500萬)。一旦集中建置並以綠色機房的角度進行規劃及維運 (PUE小於1.7標準),企業組織不僅可在成本控制上有顯著的效益,也可降低溫室氣體的排放,善盡企業組織的社會責任;
* 使用之便利性: 雲端運算及服務的特性就是可隨時透過網路存取及使用。且不論使用者端有何特性,均可透過標準機制使用網路 (例如: 智慧型設備及筆電等)。至於可因應需求彈性且快速調整資源規模大小的特性,則讓使用者可以在任何時間使用所需數量或資源的服務。
資安議題是企業評估雲端服務的主要因素
雖然雲端運算及服務提供了上述所提到之諸多便利性及優勢,但在國際間的多項調查結果顯示,有超過半數到7成的企業組織明確表達資訊安全議題將會是他們決定是否要導入雲端運算及服務的最主要的要素之一。其中又以資訊安全政策及安控措施能否有效的被實施、資料及隱私保護,資料遺失等為最主要的關鍵議題。以IDG 於2013年的調查為例,67%的企業組織認為資訊安全為部署雲端運算及服務時的最主要挑戰 (2013 Cloud Computing, IDG Enterprise)。在雲端安全聯盟(CSA)於2013年所進行的調查中 (The Notorious Nine – Cloud Computing Top Threats in 2013, CSA),資料外洩,資料遺失,帳號或服務被竊取則為排名前三大的威脅 (且排名自2010年大幅跳升)。國際間近來發生的多起重大資安事故其實也相呼應,如:
* 南韓遭大規模病毒攻擊,癱瘓將近3萬多台電腦;
* Evernote被駭客入侵,導致5000萬名用戶須重設密碼;
* 歐洲反垃圾郵件組織Spamhaus遭受高流量的DDoS攻擊,導致全球許多網路服務皆受到影響;
* Adobe被入侵,導致3800萬用戶個資外洩等事故
代表資訊安全的議題必須被有效地進行評估及管理,方能提升企業組織及使用者對雲端運算及服務的信心及信賴度。
既然雲端運算及服務之安全能否有效被管理及實施將是推動之關鍵成功要素之一,雲端服務提供者如何展現出其資訊安全為有效的被管理並符合國際標準或業界最佳實務的要求自然就相當重要了。ISO/IEC 27001是目前在全球普遍被企業組織採用以提升其資訊安全管理的國際標準,但由於ISO/IEC 27001中的各個安全控制措施要求乃針對共通性的要求進行規範,一般來說並不會特別針對某些產業或服務的特性進行額外的規範 (因為須適用於各種類型的企業組織)。如涉及特定議題或服務的特定要求,ISO組織會再另行制定額外的參考指引供企業組織參考。以雲端運算及服務為例,ISO/IEC 27000系列中未來將會制定兩本與雲端運算及服務相關的指引 – ISO/IEC 27017 & 27018 (不可驗證,需搭配ISO/IEC 27001 & 27002實施)。雖然ISO/IEC 27017 & 27018未來頒布後可提供企業組織(雲端服務提供者)在既有的ISMS制度中提升對雲端運算及服務的安全,但企業組織如何展現所提供的雲端運算及服務 (尤其是公用雲) 其資訊安全管理的成熟度可能是更為關鍵的。
OCF三等級展現雲端服務提供者資安成熟度
因此CSA提出了開放式認證框架(OCF, Open Certification Framework),並在OCF中提供了三種不同的成熟等級 (maturity levels) 及保證要求 (assurance requirement) 的架構供雲端服務提供者作為遵循及認證之參考。
* LEVEL 1: The STAR Self-Assessment 自我評鑑 (自行向CSA宣告符合程度);
* LEVEL 2: STAR Certification (Third Party Assessment) 第三方評鑑 (由第三方驗證單位進行驗證,驗證準則已於2013年9月25日正式發布);
* LEVEL 3: Continuous monitoring-based certification 持續監控為基礎的STAR 認證 (發展中)。
為了協助雲端服務提供者展現出其服務的成熟度,CSA與 BSI (英國標準協會) 於2012年開始合作針對OCF Level 2第三方評鑑進行驗證準則的制定,希望透過此驗證協助雲端服務提供者更有效地展現其服務的資安是有效的被管理。為了達成此目的,此驗證準則要求雲端服務提供者所提供的雲端運算及服務需滿足三項要求 (如圖1),以下針對此三項要求進行介紹
圖1 STAR Certification 第三方評鑑驗證準則三項要求(圖片來源:BSI提供,2013/11)
* ISO/IEC 27001的驗證:
STAR Certification的第一個要求是雲端服務提供者必須針對所提供的雲端運算及服務通過ISO/IEC 27001的驗證。透過ISO/IEC 27001的要求及驗證可確保雲端服務提供者已建立及符合國際標準要求的資訊安全管理制度 (ISO/IEC 27001已是全球企業組織用以展現其資訊安全有善盡管理之責的重要遵循依據),並確保各個面向的安全控制措施已被導入及實施,以提供雲端運算及服務資訊安全防護的基礎。
* CCM雲控制矩陣的導入及驗證 (Cloud Control Matrix):
CCM為CSA針對雲端運算及服務所訂定的額外安全控制措施要求,CCM中的安全控制措施與ISO/IEC 27001中的安全控制措施要求是相容的,因為CCM乃是依照全球常用的資安標準或框架進行制定,如: ISO 27001, COBIT, PCI, HIPAA, FedRAMP等要求。CCM中的安全控制措施適用於不同的雲端服務模式 (如: IaaS, PaaS, SaaS)。在CCM v. 1.4中,共有11 個domains及98個額外安全控制措施要求。11個領域包括法規遵循、資料治理、設施及場所安全、人力資源安全、資訊安全、法律議題、營運管理、風險管理、發行管理、回復能力和安全架構等。其中安全架構領域底下的控制措施則包含使用者身分認證機制的導入、網路隔離、資料安全與一致性等、稽核日誌及經過授權的行動程式碼等15項。STAR Certification 要求雲端服務提供者導入及驗證CCM所要求的額外安全控制措施要求,以有效的證明及展現雲端服務提供者在維運及管理上滿足業界的實務建議;
* 成熟度模型的導入及稽核:
許多企業組織常發現導入管理系統後不容易發現哪些面向的安全控制措施要求有強化的空間。企業組織可能制定了非常完善的程序規範、但欠缺了必要的技術及工具進行輔助。也有可能是程序規範制定不夠嚴謹、同仁又欠缺了足夠的技能及專業,導致無法有效地進行監控及處理相關議題。為了解決這個問題,BSI在STAR Certification中建立了Capability Model,此Capability Model會從5個不同的面相(圖2)針對每個CCM的安全控制措施要求進行評鑑,以鑑別各個安全控制措施要求的實施狀態。每個安全控制措施BSI將會依此模型中的定義給予一個評比 (1- 15分,如圖3),然後再依據每個控制章節 (domain) 中各個安全控制措施的得分來決定這個控制章節的成熟度分數 (1 - 15分)。不同的分數級距代表者雲端服務提供者在該項安全控制措施或控制章節的成熟度。
圖2 成熟度準則5個判斷面向 
圖3 成熟度分數
Capability Model的導入可協助雲端服務提供者展現其服務在CCM安全控制措施的成熟狀態,此成熟度模型可有效地展現出雲端服務提供者在雲端安全的實施入及管理之成熟度,而不是僅有pass或是fail。如:
1. “有進行資訊系統的日誌審查,但不清楚為何審查所定義的系統日誌項目” vs. “基於風險明確訂出資訊系統的日誌審查應審查的項目及頻率”;
2. “有定時進行帳號權限審查” vs. “每90天移除未使用的帳號",或是;
3. “有明確的機敏感資料的管理程序但欠缺存取的監控工具” vs. “有明確的機敏感資料的管理程序及存取的監控工具等;
上述所代表的意義及成熟度是不盡相同的。
STAR Certification然後會根據雲端服務提供者在CCM中各個控制章節 (domain) 中所獲得成熟度分數進行整體彙整,並授予不同等級的成熟度獎章以展現雲端服務提供者在所提供的雲端運算及服務的資安成熟度 (No award, Bronze, Silver, Gold),如圖4。目前全球已有三個雲端服務提供者通過BSI所執行的STAR Certification的驗證並取得 ”Silver Award” 的成熟度等級,分別是HP、Pulsant ( UK成長最快的IT服務提供者之一)、及大陸某家雲端供應商(近期將發佈)。根據筆者過去所執行的STAR Certification稽核的經驗,要得到Silver 等級以上的成熟度,代表雲端服務提供者在資訊安全對「人員參與及溝通、流程完整度、技術面、管理階層支持等面向」都有著高度的成熟度,筆者也認為這是非常好的方式可用來差異化不同雲端服務提供者的服務並提升信賴度,也可更有效的協助雲端服務提供者展現資訊安全管理的績效。
圖4 STAR Certification不同等級的成熟度獎章
結語
雲端運算及服務在可見的未來已經是一個不可避免的趨勢,就像我們日常生活所使用的水、電,已是生活中不可或缺的要素。企業組織也必須正視相關趨勢的變化所造成的衝擊及挑戰,例如企業組織中平均僅有1/4左右的IT同仁有雲端運算及服務的相關經驗,約50%的IT同仁已某個程度準備好管理或因應雲端運算及服務 (全球雲端調查報告,2011賽門鐵克)。所以不論是提供外部服務 (如:Public cloud公用雲) 或是內部服務 (如Private cloud 私有雲) 的雲端服務提供者,都必須正視所面臨的挑戰及風險,並透過國際標準及相關指引的要求,有效的展現對資安治理的遵循性及有效性。STAR Certification的導入及實施不僅可以協助雲端服務提供者展現資訊安全的落實狀態及成熟度,並可更有效的差異化所提供的雲端服務並強化讓雲端服務使用者 (企業客戶或一般使用者) 的信心及信賴度。
本文作者現任職BSI 英國標準協會驗證部協理及ISO/IEC 27001產品經理/主導稽核員/資深主任講師