云成熟度模型幫助中小企業判斷云服務提供商的安全
幾乎在每個關于云計算的調查中,公司對采用基于云的技術猶豫不決的眾多原因中,安全都排名靠前。并且確實如此,如果無法確定你的數據會被如何對待,以及是否得到充分地保護,那么盲目地采用云服務就只是有勇無謀的行為,即使云服務在經濟上的利益看起來十分誘人。
那么,企業怎樣才能證實云服務提供商是否達標準?大型公司和政府部門或許有影響力來要求對云提供商的場所和流程進行詳細的考察。然而,小公司們可能就不太受歡迎了。
最值得人注意的是來自于云安全聯盟(Cloud Security Alliance,CSA)的幾個倡議,已經在設法幫助企業至少商定出正確的問題來詢問預期的服務提供商,但這可能仍是一項緩慢且艱巨的任務。并且正如我們已經注意到的,小型企業向大型的云服務提供商提交問卷只能期望很少的合作,更別提得到回答了。
但希望可能就在眼前。一個用于給云服務公司評分的新的云成熟度模型承諾為企業提供簡單的指導,針對云服務公司提供的安全水平,給預期的買方及賣方都帶來了好處,后者現在只需要經歷一次審計過程,而用為每個顧客都進行一次。
所謂的通用保障成熟度模型(Common Assurance Maturity Model,CAMM)是Raj Samani的思想結晶,他是安全界的一名老手,曾經作為顧問在公共部門工作,現在是McAfee公司的歐洲CTO。
CAMM的形成
Samani已經從一家大型企業早期的項目中了解到,要和大量的供應商打交道是多么的困難。他恰好沒有資源或財力來執行必須的檢查,以確保他們正在照看著這些信息,這些是數據保護法案背景下他所要負責的信息。
然而,在和他的父親、倫敦中心的一家旅館擁有人的談話中他找到了解決方案:“我的父親正在抱怨那些想對旅館進行詳細檢查的令人棘手的顧客,他說這會引起很大的麻煩”,Samani說道。“他的回答是這是一家一***的旅館,意味著它不是豪華而是廉價的。這就是所有那些顧客們需要知道的”。
這個事件孕育了類似的五星評分系統,后者可能應用在云計算服務上。Samani意識到如果該系統被廣泛采用的話,不僅會讓云計算服務的顧客們更容易找到恰當的安全級別及服務,同時也緩解了提供商們所經歷的無盡的顧客審計。
這是兩年前的事情,并且從那以后來自各種支持組織的志愿者們組成的團隊一直在努力著,但如果CAMM有一些全職的工作人員幫助時,這種狀況會很快得到改變。Samani表示,他將在二月的舊金山CSA峰會上宣布關于招聘計劃的完整細節。
CAMM組件
Samani說,CAMM模型目的在于涵蓋關于安全的基線控制,但已被設計和其它標準如ISO27001、COBIT及PCI DSS進行交叉映射,因為顧客們對這些標準有特定的需要。
“CAMM模型提供控制的基線級別,然后你可以在上面添加不同的模塊”,Samani說道。“這意味著人們能為他們要求的安全級別進行支付。所以如果現在你需要在德國找到一家帶有PCI模塊的級別為3的提供商,CAMM讓找到這家公司變得更容易了”。
Samani表示,CAMM模型的重要方面之一,是用于執行審計的工具和知識產權框架對任何人都是免費的。“它是愛心的勞動成果”,他補充道。
公司開始使用CAMM模型時唯一需要付費的組件是第三方保障中心(Third Party Assurance Centre,TPAC)。TPAC是關于服務提供商的信息倉庫,列出他們根據一系列衡量標準得到的安全級別。TPAC將作為一個市場,旨在為顧客和提供商提供交流。顧客們會上傳他們的要求,列出CAMM級別加上任他們需要的何其它模塊,TPAC將立刻呈現符合他們要求的供應商的簡短列表。
Samani補充道,CAMM模型會有助于安全經理們根據他們的老板能理解的東西來量化殘余風險。“你走到CEO面前并且說,‘我們打算尋找一家級別為3級的公司但是那會留下一些風險’”,Samani說道。“CEO接著會詢問找一家4或5級的公司要花費多少錢,然后在理解風險后做出判斷。因為這種時候,你不能有同業務主管談論安全的那種談話”。
最近CAMM模型經歷了有四個試用用戶的alpha測試,一旦來自這些測試的反饋結果在二月份得到“消化”,在年底大規模啟動前會進行一系列beta測試。
該項目得到150個組織的支持包括大型云服務提供商、政府團體以及行業團體諸如CSA和ISACA(信息系統審計與控制協會)。
對CAMM模型的反應
CAMM方法被普遍視為一個有價值和有前途的方法。Paul Simmonds談到CAMM發揮了***價值的作用,他是國際組織Jericho Forum的董事會成員、CSA的安全指導V3版本的合著者。
“CAMM模型已非常深思熟慮,我對此印象十分深刻”,Simmonds說道。“該模型在它的領域內是模塊化的,因此作為云服務的用戶,你能明確要求在不同的區域需要什么級別的安全。CAMM使得更容易找到潛在供應商的簡短列表,并且它會繼續發展為大多數公司可以自我管理的更為完善和徹底的審計方法”。
該倡議還得到了來自歐洲的有力支持,其中包括歐洲網絡及信息安全機構(ENISA)的督導委員會。“我們堅信CAMM模型是幫助云計算起飛的關鍵所在”,ENISA在希臘Crete島的安全服務項目經理Giles Hogben談道。
不過Hogben提醒注意,任何新的標準應該避免給公司增加額外的費用。他補充道,按照1到5的范圍來衡量成熟度“可能導致過度簡化”,因此必須小心處理。
