簡介
歐洲雲服務聯盟是第一個在歐洲提供雲服務驗證機制的機構,該機制名為:歐洲雲服務聯盟第三方星級驗證機制EuroCloud Star Audit, ECSA。此機制特別為基礎設施即服務IaaS、平台即服務PaaS與軟體即服務SaaS所設計,並依據特定領域所需之服務績效水準,定義不同等級,使驗證後的服務商有信賴度。
為了確認雲服務提供過程能符合在合約保證條文中,有關資料安全、技術操作及組織維運流程等構面對於績效要求的質化檢視,需要有足夠的專業。緣此,代表品質的證書通常能針對服務商的資安績效及服務信賴度,提供簡明描述。
歐洲雲服務聯盟設計了一組標章,顯示服務商在合約符合性、技術性及組織性構面,均符合特定級別的要求。每一標章代表專業的稽核員經過完善的檢視後,同意雲服務商的服務績效達到該標章代表的水準。
符合性
目前市場中許多雲服務均透過入口網站或在某品牌大傘下提供,而掩蓋服務商本身的身份。因此最好能先瞭解誰是真正的服務商,再決定是否購買其服務。
一般符合性需求
一般而言,「符合性Compliance」代表一個組織的作業符合正確性、誠實性及完整性的所有要求。在雲端運算的領域中,服務商的符合性只能透過其服務提供過程中,對所有相關事務提供適當的透明資訊,包含資料儲放的真實地點、有關服務商的完整資訊,其所提供之服務功能,以及在合約中提供所有必要的服務保證等。此外,該服務商必須於事前知會用戶任何與服務相關的變更。若有任何變更,而客戶不願接受該變更,他應該有權決定其是否要終止合約。在此情況下,服務相關的資料應被妥適地歸還給客戶。
實地訪查
針對雲端運算各領域的業界資訊服務商,檢視其作業績效的需求,在未來往往可能會造成一些困擾。許多資料保護法規要求到雲服務商實地檢視。此時會產生一個問題:到那個地點訪查檢視?到雲服務採購合約的簽約商所在地?雲服務基礎設施所在地?應用軟體SaaS服務商所在地?若決定應是資料處理及儲存的所在地,則又衍生一個問題:到數據中心查訪能期望得到什麼資訊呢?
如果沒有夠資格的專家針對資料保護、資料安全、維運管理,及可能也需要的軟體開發等構面進行檢視,則大多數時間就會落得對服務商主觀的印象,好像可以信賴;更談不上以技術性及組織性的衡量措施來進行質化的評量了。還要指出的是,對於數據中心的實地查訪本身就會有風險,只有夠專業資格的人才能進行適當的安全、存取等查核。
對於組合性的資訊服務,如自動化操作、一般性的資訊委外作業、私有雲作業,及公有雲作業混合的服務,更需要考慮加入身份管理及資料介面互通管理。值得注意的是,多數公有雲服務的結構有如供應鏈,其中有一連串的環節連動,如數據中心、IaaS服務商、PaaS提供商、SaaS服務商及電子市集平台服務商等,相互合作後才提供一項真正的服務。
要順利走出此一複雜迷宮之唯一辦法,就是運用經認證過的評鑑機構,協助驗證不同類型和構面的雲服務產品和服務的品質。
技能
對於所有和雲服務相關的功能和效能進行完整的檢視,需要很廣泛的專業技能和經驗。這也是為何需要經過認證合格的評鑑機構,才有能力確認雲端運算服務的品質。
查驗雲服務品質,首先需根據技術需求,其次則依照資訊安全、資料保護、互通性及符合性等之要求,一一檢視。這種評鑑稽核的作業,必須根據既定的準則及驗測需求,不能僅從技術面下手。
此類稽核作業往往繁重而費時,需要特別的檢測專業,也發展成為專業的驗證程序。牽涉到在標準化的檢測程序架構下,建立一般性需求項目,並由合格的稽核員執行。ISO27001資安標準驗證程序可謂在資訊安全領域中最知名的。
即使SaaS應用系統解決方案服務商已獲ISO27001證書,仍無法告訴我們在整個供應鏈體系中,例如嵌入式平台業者或基礎設施服務商之資安制度被落實的狀況。
需求
完整稽核作業包含若干法律層面的項目,與技術相關的服務,如資料保護、資料安全之結果是否符合信賴度,及維運作業和應用作業流程是否達到基本品質標準等。雲服務商在稽核過程中,必須提供具體證據;通過驗證後若有任何地點或下包商變更等重大事件,均須立即通知。
需要指明之議題
- 有關雲的特定評估項目
- 資訊安全評估項目
- 法律何合規性評估項目
- 資料隱私評估項目
- 合約共同範疇—無可協商
- 有包含完整雲服務供應鏈
- 評鑑控制項目有對大眾公開
雲服務國際性驗證機制比較:
德國科隆大學研究團隊研究雲服務保證內涵之不同觀點
Authors: Lansing Jens, Schneider Stephan; Sunyaev Ali
Table 2就德國科隆大學研究團隊,針對雲服務所涉及的與服務品質及服務持續性有關之十個保證因素,從學術研究、現有商用驗證制度,及面訪結果三種狀態作比較。現有雲服務驗證制度就所著重之服務保證而言,各有不同的重點。大部分雲服務驗證制度因應雲服務用戶及使用者的顧慮,均著重於資訊安全及資料隱私保護。但研究顯示雲服務品質及服務持續性的保證,並非僅在資訊安全及資料隱私保護。
驗證目錄
透過與眾多相關的政府機關、學術單位、法律專家及會計師事務所多次討論後,歐洲雲服務聯盟產生一組對於雲服務驗證的項目,編為評鑑目錄。
評估雲服務時所依據的檢核表,包含下述幾大類:
服務商描述
合約與符合性
安全與資料隱私
維運與基礎設施
- 數據中心之一般評估
- 存取控制
- 環境安全評估
- 回覆彈性
- 數據中心維運作業
維運作業流程
- 客戶支援
- 服務管理
- 資料備份流程
- 品質保證
特定服務類別之評估
- 基礎設施即服務
- 平台即服務
- 軟體即服務
欲瞭解更多有關評鑑目錄內容,請查:
出版物
資料保護
以電子形式在資訊系統處理和儲存資料,以符合國家資料保護法之要求,對公司而言始終是持續性的挑戰。
所謂「個人資料」包含與個人私下、職業或公開生活有關的所有資訊,例如姓名、照片、電子郵件地址、銀行帳戶細節、社群媒體上的網頁訊息、醫療資訊,或電腦的IP地址等等。根據歐盟基本人權法,每個人都有權利主張其個人生活的每一層面的資料均被保護—包含在家裡、工作場合、購物、看診、與警察接觸或在網路上等各種場合所發生的相關資訊。
當服務由第三者提供時,就需要非常透明的文件來記錄或報告此服務商如何處理資訊,該資料格式,處理的數量,如何保證個人資料的權利有被保護等。
資料安全
資料安全的概念可被區分為二大類別:
- 資料的功能性安全,如機敏性(confidentiality)、完整性(integrity)、容易被處理(ease of handling)的特性等,稱為「安全保障security」;
- 資訊系統之技術性安全,以防功能錯誤(malfunction)、資料遺失(loss of data),及其他有礙適當處理資料的事件發生,稱為「設施安全safety」。
更廣義而言,安全代表資訊安全,包含全部的處理系統,及混合性使用自家系統服務及外界雲服務等。
技術性的安全常可藉由ISMS資訊安全管理制度來確保,其品質可依據ISO27001標準來驗證。
常被用來檢視功能性安全的規範是COBIT (依據ESAE3402, 過去稱為 SAS70 II之規範),其著重於檢視會計相關標準文件,例如公司製作的資產負債表等。
然而是否符合這些標準文件所提供的量化記載,只能在對評估對象的雲服務,針對檢視需求完成徹底的檢查後才能確認。
另一項逐漸被要求的詳實檢視,是關於網路安全的部分。在此一惡意程式 (malware)、分散式阻斷服務攻擊(DDoS, distributed denial of services)、暗中偵察軟體 (spyware)及其他許多病毒充斥的時代,資料存取及資料完整正確性(integrity),均受到很大的風險。這些威脅不僅限於雲服務,而是影響資訊作業的所有層面,包含存取資料的移動裝置。
技術性作業
對於雲端運算的主要需求,和其他傳統資訊委外作業之要求無甚差異。從數據中心提供雲服務,在該處有關實體安全防護的作為(如場所安全、網路接取及網路安全等),及必要的作業保證措施(如電力、冷卻及網路連線等),均須被觀察檢視。
作業流程及服務遞送
所有技術性服務均明顯地牽涉到作業人員,必須接受適當的工作指示及訓練,才能確保載於合約中的服務能被正確提供。ITIL (the IT Infrastructure Library) 是一套被全球廣為接受的最佳實務,也成為驗證檢視時的對照目標,可用以規避問題,並確保適當的服務遞送。
虛擬化科技使得網路、系統及軟體間的傳統界線模糊。因此,雲服務和基礎設施的經理人員必須充分瞭解他們在系統方面的責任區隔。
互通性
在多數狀況下,只有少部分的資訊作業遷移至雲環境。因此檢查自家系統及雲服務系統間的介面互通性,就成為非常重要的議題。系統間的介面互通,可透過應用系統及服務,使資料在雲環境下進出。
另一重要的構面在於確認資料以適當的格式存檔 (機器可讀取且維持完整正確的資料邏輯關係)。
這些介面及輸出設備亦應符合安全標準之要求,因為雲服務商可自動存取客戶大量資料。
使用者支援
提供自我釋義的服務台系統或客服熱線等適當的使用者指引,可進一步確保雲服務被市場接受,而順利導入到客戶企業內。好的使用者支援,甚至能延伸至在使用雲服務時,協助消除所有作業上的障礙。
品質等級
ECSA驗證稽核機制,依據稽核員檢視結果,將雲服務的服務水準分為三個等級:
- 可信賴雲服務—三星
- 進升級可信賴雲服務—四星
- 高可用度之進升級可信賴雲服務—五星