克服网安风险 企业云导入意愿高

云端服务由于具有设备共构、资源共享、随选即用、依使用量付费等特性，企业可藉由将其系统与应用程序放置于云端服务平台，大幅降低企业IT基础设施在建置、维运与企业经营的成本与风险，同时提升经营与服务效率。整个信息产业也可经由集中建置的云端虚拟化机房来降低能源的总消耗量，朝向绿色使用信息科技(Green IT)的方向前进。

由于云端服务共享式的特性，使得多数企业在采用云端服务前，除了评估导入的财务及成本效益外，了解云端架构是否会为企业带来其他相关的信息风险，也是许多企业关心的话题，由此可以看出，云端网安可以说是云端应用时代，能否顺利开启的关键因素。

但要克服网安风险，绝非单一厂商所能克竟其功，为了毕其功于一役，各大云服务与网安产品供应商，共同成立了云端网安联盟（Cloud Security Alliance；CSA），并且发布了云端安全指引以及开放式验证框架（Open Certification Framework；OCF），成为全球最具代表性的云端网安组织。

OCF严谨中立 提高评监可靠性

以OCF其中的STAR认证（Star Certification）为例，就是由CSA和商业标准制定权威机构英国标准协会（BSI）共同推出，提供一个严谨的云端服务供应商安全性的第三方独立评监。此技术中立的认证运用了ISO/IEC 27001:2005管理系统标准的要求，结合CSA云控制矩阵（Cloud Control Matrix；CCM）及用以量测云端服务的能力水准之一系列准则。

企业组织采用云端服务供应商外包处理内部数据及信息时，总有许多安全性方面的疑虑。藉由通过STAR认证，将来不论是何种规模的云端服务供应商，都能使潜在客户更加了解他们的安全控制水准。

云端安全联盟EMEA董事总经理Daniele Catteddu指出，有监于最近政府的发现，消费者和供应商对于云端的服务，一直在寻求独立且技术中立的认证，以帮助他们在购买和使用服务上做出更明智的决策，而STAR认证可望额外提供一层业界不断呼吁的透明度机制，提供更为严谨、以使用者为中心的评监。

STAR认证是以达成ISO / IEC 27001和云控制矩阵所列出的一系列准则为基础，此矩阵有11个控制区域，涵盖遵循性、数据治理、设施及场所安全、人力资源安全、信息安全、法规、运作管理、风险管理、发行管理、恢复能力和安全架构。

此独立评监将由CSA认可的验证机构执行，如BSI，将对11个控制区域的每个区域进行「管理能力」的评分。每一个控制措施将会依5个管理原则被量测并给予特定的成熟度分数。

此稽核报告将对企业组织展示其流程的成熟度，以及需考虑、改善以达到最佳完善等级的区域，这些等级将被指定为「无（No）」、「铜（Bronze）」、「银（Silver）」或「金（Gold）」等级，经过认证之企业组织，将会被列在CSASTAR Registry为「通过STAR认证（STAR Certified）」。

BSI的全球产品组合管理部门主管Elaine Munro指出，在工作场所的技术发展与员工渴望弹性工作的需求下，云端服务的商业需求迅速增加；然而，许多组织对于云端服务的各种安全性问题仍有所顾虑。藉由STAR认证，提供组织和消费者评估云端服务供应商绩效的明确标杆，有助于缓解此问题。

中华电信可望成为全球首家通过OCF Level 2验证的运营商

中华电信身为国内主要的云端服务供应商，也特别综整IaaS、PaaS、SaaS各面向的云端服务安全议题，与客户使用云端服务时所关心的安全考量归纳出十大具体方向，制定hicloud网安白皮书，希望能解决云端服务虚拟化架构、云端数据传输与储存、线上存取、应用系统开发/上线、分散式阻断攻击、维运管理等所面临安全问题，并提供客户在云端服务营运上所需的各类网安服务，如入侵防护服务、DDoS防护服务、网站应用程序防火墙（WAF）、网页安全检测以及网页个资检测等等。

除了落实网安白皮书内容，达到对客户云端信息安全的承诺外，hicloud也努力持续改进云端网安架构与管理制度，以符合国际安全规范，以成为国际级云端服务供应商。因此，中华电信数据通信分公司在2012年，就已完成全区机房通过ISO 27001与ISO 27011电信增项安全认证，hicloud更已于2014年2月完成CSA刚推出的OCF Level 2验证，可望成为全球第一家通过本验证的运营商。

中华电信指出，云端服务的稳定与安全性是一个持续精进的流程，中华电信希望透过专业的网安团队与高品质的网安服务，协助hicloud客户降低IT管理成本的同时，打造一个稳定、安全以及可信赖的云端环境。