雲端管理安全實務

雲端服務在近年來快速發展，並帶來新的管理議題與資訊安全挑戰，然而無論是舊版ISO27001:2005或新版ISO27001:2013，在相關的控制項內容上，都還無法對運用雲端服務時所帶來的風險，提供完整的安全要求或保護。

而雲端安全聯盟(Cloud Security Alliance，以下簡稱CSA)所制定出的雲端安全認證STAR (Security, Trust and Assurance Registry，以下簡稱STAR認證)為這些問題提供一個客觀的評估標準。

STAR認證 = ISO27001 + 雲端控制矩陣 +成熟度評估

雲端安全聯盟於2013年9月提出STAR認證，它運用了ISO27001:2005管理系統標準的安全管控要求，結合CSA自身提出的雲端控制矩陣(Cloud Control Matrix, CCM)，以評分方式來展現雲端服務的安全程度。

新版STAR在雲端安全的重點議題

STAR認證中的雲端控制矩陣(CCM) V3.0.1共分成16個領域，共有133個控制項要求，其中對各控制項的要求指引出企業在導入或選擇雲端服務時應該考量的重點，其中有幾個議題值得我們探討：

1.  雲端資料安全管理:

存在雲端中的資料與內含資料的物件，應被依據其形式、來源地及所在地的法律規定、類別、法律限制、合約規範、價值、敏感性、對組織的重要性及第三方義務，以保管及預防資料未經授權揭露或誤用。

2.  身分認證機制:

所有雲端服務都需要透過網路提供遠端使用者進行各項服務或資料存取，隨著高速網路的逐漸普及，而服務另一端是否為合法與經過認定的使用者，在現今的多元環境更顯重要，而STAR認證就提出多因子認證機制的要求，要求雲端服務提供者在設計雲端用戶身分認證機制的時候，必須適當的搭配用戶已知的資料(如：密碼)、用戶所擁用的工具(如：憑證、手機動態簡訊等)或用戶自身的生物特徵等複選的機制，來取代過往只有單純透過帳號及密碼的輸入來確認使用者身份。

3.  雲端服務鎖定(Lock-in)而無法移轉:

企業或個人用戶在選擇雲端服務提供者所推出的各種雲端服務或自建雲端服務時，另一個擔心的議題就是在日後是否會造成被綁架而無法移轉的困擾，因此在選擇雲端服務提供者或相關雲端解決方案前，應注意合約內容中對於未來放置於雲端服務的資料在移轉時的相關承諾與實際作法。

STAR認證所帶來的效益

面對雲端服務的快速興起，加上整體資訊環境快速變化及資訊安全挑戰日新月異，雲端服務提供者或用戶在面對雲端服務時，已經不能使用過往在傳統資訊架構下的管理思維，這也是為何CSA要求要通過STAR認證的企業，除了要取得ISO 27001國際標準之外，也要同時強化相關的雲端服務安全技術管控。

對於雲端服務提供者而言，透過STAR認證的導入，能具體展現自身的雲端服務在安全議題上的完整設計程度，同時也能讓用戶在選擇雲端服務時，可以客觀的進行評估及掌握風險承受狀況，使其在享受使用雲端服務所帶來的競爭優勢時，也能夠在風險管理層面取得妥善的平衡位置。