搜尋此網誌

2010年6月22日 星期二

[教戰守則] 雲端安全聯盟 (Cloud Security Alliance) 安全指導原則

CSA-Logo2 雖然有關雲端安全的議題跟雲端運算本身一樣持續發燒,也有越來越多的廠商推出相關的服務/產品,但是不可否認安全議題依舊是導入雲端運算的主要瓶頸之一。對此,Gartner 預期企業初期在私有雲 (Private Cloud) 的投資會大於公開雲 (Public Cloud),主要原因就在於企業對於私有雲依舊擁有足夠的掌控權,可以減少與其他人共用平台所產生的額外風險。儘管如此,私有雲畢竟與原先的 IT 架構有所差別,因此在安全的考量上也有其特別之處。如果一味的將私有雲與原先的 IT 架構一視同仁,那麼產生的風險將是無法估算的。

為了因應雲端運算的安全議題,雲端安全聯盟 (CSA, Cloud Security Alliance) 發表了安全指導原則 (Security Guidance),期望給所有相關人士一些可行的參考方向。目前最新的安全指導原則是在 2009 年年底所公布,版本號碼為 2.1。在這份文件中,將雲端安全分為兩大領域,分別為治理 (Governance) 與維運 (Operation),其下各有 5 個與 7 個分類,共計 12 個分類:

  • 治理 (Governance)
    • 治理與企業風險管理 (Governance and Enterprise Risk Management)
    • 法律與電子資料搜尋 (Legal and Electronic Discovery)
    • 法規遵守與稽核 (Compliance and Audit)
    • 資訊生命週期管理 (Information Lifecycle Management)
    • 可攜性與互通性 (Portability and Interoperability)
  • 維運 (Operation)
    • 傳統上的安全、業務持續與災難復原 (Traditional Security, Business Continuity, and Disaster Recovery)
    • 資料中心維運 (Data Center Operations)
    • 事件處理、通知與回復 (Incident Response, Notification, and Remediation)
    • 應用程式安全 (Application Security)
    • 加密與金鑰管理 (Encryption and Key Management)
    • 身份與存取管理 (Identity and Access Management)
    • 虛擬化 (Virtualization)

每個分類除了概述可能產生的問題外,更以條列式的方式列出建議的控制措施,好讓使用者有一定的遵循依據。必須特別注意的是,儘管文件中並沒有針對不同的雲端運算架構 (也就是 IaaS、PaaS 與 SaaS) 做出不同的分類,但是在建議控制措施上面卻可能因為架構不同而有所區別。畢竟雖然同為雲端運算,但是三者的本質與可控制的層級完全不同,因此即使在面對相同的安全需求時也會有全然不同的做法。舉例來說,在應用程式安全中有一項建議是在 IaaS 的架構下,可信任的虛擬機器影像檔 (trusted virtual machine images) 是一個很重要的關鍵。然而這個建議在 PaaS 與 SaaS 架構下就顯得多於了。

原始文件有 76 頁,在此我就不一一贅述,留待給有需要的讀者自行參考。

 

相關連結:

About