云成熟度模型助判断云服务提供商的安全

几乎在每个关于云计算的调查中,公司对采用基于云的技术犹豫不决的众多原因中,安全都排名靠前。并且确实如此,如果无法确定你的数据会被如何对待,以及是否得到充分地保护,那么盲目地采用云服务就只是有勇无谋的行为,即使云服务在经济上的利益看起来十分诱人。

  那么,企业怎样才能证实云服务提供商是否达标准?大型公司和政府部门或许有影响力来要求对云提供商的场所和流程进行详细的考察。然而,小公司们可能就不太受欢迎了。

  最值得人注意的是来自于云安全联盟(Cloud Security Alliance,CSA)的几个倡议,已经在设法帮助企业至少商定出正确的问题来询问预期的服务提供商,但这可能仍是一项缓慢且艰巨的任务。并且正如我们已经注意到的,小型企业向大型的云服务提供商提交问卷只能期望很少的合作,更别提得到回答了。

  但希望可能就在眼前。一个用于给云服务公司评分的新的云成熟度模型承诺为企业提供简单的指导,针对云服务公司提供的安全水平,给预期的买方及卖方都带来了好处,后者现在只需要经历一次审计过程,而用为每个顾客都进行一次。

  所谓的通用保障成熟度模型(Common Assurance Maturity Model,CAMM)是Raj Samani的思想结晶,他是安全界的一名老手,曾经作为顾问在公共部门工作,现在是McAfee公司的欧洲CTO。

  CAMM的形成

  Samani已经从一家大型企业早期的项目中了解到,要和大量的供应商打交道是多么的困难。他恰好没有资源或财力来执行必须的检查,以确保他们正在照看着这些信息,这些是数据保护法案背景下他所要负责的信息。

  然而,在和他的父亲、伦敦中心的一家旅馆拥有人的谈话中他找到了解决方案:“我的父亲正在抱怨那些想对旅馆进行详细检查的令人棘手的顾客,他说这会引起很大的麻烦”,Samani说道。“他的回答是这是一家一星级的旅馆,意味着它不是豪华而是廉价的。这就是所有那些顾客们需要知道的”。

  这个事件孕育了类似的五星评分系统,后者可能应用在云计算服务上。Samani意识到如果该系统被广泛采用的话,不仅会让云计算服务的顾客们更容易找到恰当的安全级别及服务,同时也缓解了提供商们所经历的无尽的顾客审计。

  这是两年前的事情,并且从那以后来自各种支持组织的志愿者们组成的团队一直在努力着,但如果CAMM有一些全职的工作人员帮助时,这种状况会很快得到改变。Samani表示,他将在二月的旧金山CSA峰会上宣布关于招聘计划的完整细节。

  CAMM组件

  Samani说,CAMM模型目的在于涵盖关于安全的基线控制,但已被设计和其它标准如ISO27001、COBIT及PCI DSS进行交叉映射,因为顾客们对这些标准有特定的需要。

  “CAMM模型提供控制的基线级别,然后你可以在上面添加不同的模块”,Samani说道。“这意味着人们能为他们要求的安全级别进行支付。所以如果现在你需要在德国找到一家带有PCI模块的级别为3的提供商,CAMM让找到这家公司变得更容易了”。

  Samani表示,CAMM模型的重要方面之一,是用于执行审计的工具和知识产权框架对任何人都是免费的。“它是爱心的劳动成果”,他补充道。

  公司开始使用CAMM模型时唯一需要付费的组件是第三方保障中心(Third Party Assurance Centre,TPAC)。TPAC是关于服务提供商的信息仓库,列出他们根据一系列衡量标准得到的安全级别。TPAC将作为一个市场,旨在为顾客和提供商提供交流。顾客们会上传他们的要求,列出CAMM级别加上任他们需要的何其它模块,TPAC将立刻呈现符合他们要求的供应商的简短列表。

  Samani补充道,CAMM模型会有助于安全经理们根据他们的老板能理解的东西来量化残余风险。“你走到CEO面前并且说,‘我们打算寻找一家级别为3级的公司但是那会留下一些风险’”,Samani说道。“CEO接着会询问找一家4或5级的公司要花费多少钱,然后在理解风险后做出判断。因为这种时候,你不能有同业务主管谈论安全的那种谈话”。

  最近CAMM模型经历了有四个试用用户的alpha测试,一旦来自这些测试的反馈结果在二月份得到“消化”,在年底大规模启动前会进行一系列beta测试。

  该项目得到150个组织的支持包括大型云服务提供商、政府团体以及行业团体诸如CSA和ISACA(信息系统审计与控制协会)。

  对CAMM模型的反应

  CAMM方法被普遍视为一个有价值和有前途的方法。Paul Simmonds谈到CAMM发挥了极具价值的作用,他是国际组织Jericho Forum的董事会成员、CSA的安全指导V3版本的合著者。

  “CAMM模型已非常深思熟虑,我对此印象十分深刻”,Simmonds说道。“该模型在它的领域内是模块化的,因此作为云服务的用户,你能明确要求在不同的区域需要什么级别的安全。CAMM使得更容易找到潜在供应商的简短列表,并且它会继续发展为大多数公司可以自我管理的更为完善和彻底的审计方法”。

  该倡议还得到了来自欧洲的有力支持,其中包括欧洲网络及信息安全机构(ENISA)的督导委员会。“我们坚信CAMM模型是帮助云计算起飞的关键所在”,ENISA在希腊Crete岛的安全服务项目经理Giles Hogben谈道。

  不过Hogben提醒注意,任何新的标准应该避免给公司增加额外的费用。他补充道,按照1到5的范围来衡量成熟度“可能导致过度简化”,因此必须小心处理。