克服資安風險 企業雲導入意願高
雲端服務由於具有設備共構、資源共享、隨選即用、依使用量付費等特性,企業可藉由將其系統與應用程式放置於雲端服務平台,大幅降低企業IT基礎設施在建置、維運與企業經營的成本與風險,同時提升經營與服務效率。整個資訊產業也可經由集中建置的雲端虛擬化機房來降低能源的總消耗量,朝向綠色使用資訊科技(Green IT)的方向前進。
由於雲端服務共享式的特性,使得多數企業在採用雲端服務前,除了評估導入的財務及成本效益外,了解雲端架構是否會為企業帶來其他相關的資訊風險,也是許多企業關心的話題,由此可以看出,雲端資安可以說是雲端應用時代,能否順利開啟的關鍵因素。
但要克服資安風險,絕非單一廠商所能克竟其功,為了畢其功於一役,各大雲服務與資安產品供應商,共同成立了雲端資安聯盟(Cloud Security Alliance;CSA),並且發布了雲端安全指引以及開放式驗證框架(Open Certification Framework;OCF),成為全球最具代表性的雲端資安組織。
OCF嚴謹中立 提高評鑑可靠性
以OCF其中的STAR認證(Star Certification)為例,就是由CSA和商業標準制定權威機構英國標準協會(BSI)共同推出,提供一個嚴謹的雲端服務供應商安全性的第三方獨立評鑑。此技術中立的認證運用了ISO/IEC 27001:2005管理系統標準的要求,結合CSA雲控制矩陣(Cloud Control Matrix;CCM)及用以量測雲端服務的能力水準之一系列準則。
企業組織採用雲端服務供應商外包處理內部資料及資訊時,總有許多安全性方面的疑慮。藉由通過STAR認證,將來不論是何種規模的雲端服務供應商,都能使潛在客戶更加瞭解他們的安全控制水準。
雲端安全聯盟EMEA董事總經理Daniele Catteddu指出,有鑑於最近政府的發現,消費者和供應商對於雲端的服務,一直在尋求獨立且技術中立的認證,以幫助他們在購買和使用服務上做出更明智的決策,而STAR認證可望額外提供一層業界不斷呼籲的透明度機制,提供更為嚴謹、以使用者為中心的評鑑。
STAR認證是以達成ISO / IEC 27001和雲控制矩陣所列出的一系列準則為基礎,此矩陣有11個控制區域,涵蓋遵循性、資料治理、設施及場所安全、人力資源安全、資訊安全、法規、運作管理、風險管理、發行管理、恢復能力和安全架構。
此獨立評鑑將由CSA認可的驗證機構執行,如BSI,將對11個控制區域的每個區域進行「管理能力」的評分。每一個控制措施將會依5個管理原則被量測並給予特定的成熟度分數。
此稽核報告將對企業組織展示其流程的成熟度,以及需考慮、改善以達到最佳完善等級的區域,這些等級將被指定為「無(No)」、「銅(Bronze)」、「銀(Silver)」或「金(Gold)」等級,經過認證之企業組織,將會被列在CSASTAR Registry為「通過STAR認證(STAR Certified)」。
BSI的全球產品組合管理部門主管Elaine Munro指出,在工作場所的技術發展與員工渴望彈性工作的需求下,雲端服務的商業需求迅速增加;然而,許多組織對於雲端服務的各種安全性問題仍有所顧慮。藉由STAR認證,提供組織和消費者評估雲端服務供應商績效的明確標杆,有助於緩解此問題。
中華電信可望成為全球首家通過OCF Level 2驗證的電信業者
中華電信身為國內主要的雲端服務供應商,也特別綜整IaaS、PaaS、SaaS各面向的雲端服務安全議題,與客戶使用雲端服務時所關心的安全考量歸納出十大具體方向,制定hicloud資安白皮書,希望能解決雲端服務虛擬化架構、雲端資料傳輸與儲存、遠端存取、應用系統開發/上線、分散式阻斷攻擊、維運管理等所面臨安全問題,並提供客戶在雲端服務營運上所需的各類資安服務,如入侵防護服務、DDoS防護服務、網站應用程式防火牆(WAF)、網頁安全檢測以及網頁個資檢測等等。
除了落實資安白皮書內容,達到對客戶雲端資訊安全的承諾外,hicloud也努力持續改進雲端資安架構與管理制度,以符合國際安全規範,以成為國際級雲端服務供應商。因此,中華電信數據通信分公司在2012年,就已完成全區機房通過ISO 27001與ISO 27011電信增項安全認證,hicloud更已於2014年2月完成CSA剛推出的OCF Level 2驗證,可望成為全球第一家通過本驗證的電信業者。
中華電信指出,雲端服務的穩定與安全性是一個持續精進的流程,中華電信希望透過專業的資安團隊與高品質的資安服務,協助hicloud客戶降低IT管理成本的同時,打造一個穩定、安全以及可信賴的雲端環境。