探索中国CIO人才现状 | 第四季调研报告
云计算就安全标准来说亟需完善
2013-06-25  作者:企业网 

  Gartner最近的一项研究预测了所有云领域的业务都将持续在两位数的增长当中。


  但将关键功能外包给第三方还请用户们重点关注一下安全问题。当企业将IT业务运行在内部时,则可以进行安全协议的定义与控制。但当依靠云服务供应商时,你又怎么能了解到安全协议存在哪里?并且它们是怎样执行的呢?


  为了解决这些问题,云产业本身也在不断演变与调整其架构。通过定义云的安全标准则是最佳的解决方法——在其行业范围内提供一个统一的标准,使其成为云服务供应商公认的认证标准。通过贯彻与广泛采用这类标准,潜在的云客户将使用评估工具对云服务提供商进行安全评估。


  但是,很多业内的云服务提供商还未采用统一的标准。他们采纳了自己所认可的准则,现有的各种协议则致使了迷惑性引导的产生。


  云安全联盟


  规模最大且参与者众多的安全标准机构是CSA或称作云安全联盟(CloudSecurityAlliance)。其中包括亚马逊网络服务公司、微软、甲骨文、红帽、RackSpace和Salesforce公司等(还包括几十个企业),最有前景的云服务企业都支持CSA。


  CSA已经开发出一个合规标准,被称作为CCM或云控制矩阵(CloudControlMatrix)。该标准被整理到Excel电子表格当中,CCM涉猎十多个云基础设施领域,包括风险管理和安全信息等。CCM已超越了其本身安全问题的范畴,当中还包含了政府、法律法规和硬件架构等合规解决措施。


  CCM阐述了数百条标准。例如,从类别“设施安全-安全区域授权”当中,你可以找到如下控制规范:安全区域的入口和出口应受到限制,并监视物理访问控制机制以确保只有经过授权的人员才可以进入。


  显然,该标准讲的是云服务供应商设施的物理安全问题。但标准并不完全支配其实施的行动。


  针对客户对云服务供应商的评估,如果该厂商可以向你保证一个审计标准,并在提供符合(在本例中)CCMV1.3控制规范FS-04的情况下,这将远远优于一无所知或是简单地听取供应商一面之词的境况。


  NIST、IEEE和ENISA


  这些标准机构向全世界分享了一个有爱的名字,它们读起来似乎是一轮拼字游戏。他们也正在开发自己的准则,其中也覆盖到了云服务安全性的问题。


  NIST,美国国家标准与技术研究所,该机构在去年公布了其公共云计算安全和隐私准则。不同于CSA的CCM标准,NIST的指导方针则是针对云客户及其相关细节的——对于潜在的云服务提供商,客户应考虑提出哪些咨询问题。


  IEEE,电气和电子工程师协会,已着手开发自己的云安全标准。并称其为P2301项目-云可移植性和互操作性指南-IEEE的标准定义主要集中在云供应商之间的互操作性上。


  虽然安全只是互操作标准的一个方面,但云客户互操作本身就是一个关键,以避免对云服务供应商产生潜在的依赖。若没有这些标准,因此则很容易在云服务供应商之间产生数据的移动和流程的更改。客户将能够以此卡住供应商,这也将成为一个关于安全的法律责任标准。


  为了不被冷落,欧洲网络与信息安全局或称作ENISA也已颁布了其速成的安全标准:云合同安全服务水平监测指南。该指南面向公共云客户,ENISA将引导用户向云供应商提出细节性问题,以确保云供应商能够严格遵守安全协议。


  谨防SAS70


  在这个云服务快速发展的世界中,这个SAS70标准的光芒正在逐渐消退,该标准是美国会计师协会审计准则委员会所颁布的审计标准的一部分。虽然它最初的设计是用来监督企业遵守财务报告规则的,但一些云服务供应商依然使用SAS70来作为一个所谓的安全协议认证。


  包括Gartner在内的一些批评家说,在为客户提供有用的安全保障下,SAS70具备明显的不足。有人认为该审计标准已与云服务安全性原意相去甚远,根本无法满足现代威胁评估的需求。此外,SAS70已被批评为是一种瞬时标准,它基本上是无法反应服务供应商持续表现的。


  高调的云服务,类似亚马逊遇到的一些“挫折”,虽然其技术遵从SAS70准则,但它仍对审核标准蒙上了污点。因此,现如今当客户评估云服务提供商时,都被警告不要把太多的重点放在SAS70认证上。Gartner建议用自我评估和协商过的审计程序来完善补充SAS70标准。