雲成熟度模型助判斷雲服務提供者的安全

幾乎在每個關於雲計算的調查中，公司對採用基於雲的技術猶豫不決的眾多原因中，安全都排名靠前。 並且確實如此，如果無法確定你的資料會被如何對待，以及是否得到充分地保護，那麼盲目地採用雲服務就只是有勇無謀的行為，即使雲服務在經濟上的利益看起來十分誘人。

那麼，企業怎樣才能證實雲服務提供者是否達標準?大型公司和政府部門或許有影響力來要求對雲供應商的場所和流程進行詳細的考察。 然而，小公司們可能就不太受歡迎了。

最值得人注意的是來自于雲安全聯盟(Cloud Security Alliance，CSA)的幾個倡議，已經在設法説明企業至少商定出正確的問題來詢問預期的服務提供者，但這可能仍是一項緩慢且艱巨的任務。 並且正如我們已經注意到的，小型企業向大型的雲服務提供者提交問卷只能期望很少的合作，更別提得到回答了。

但希望可能就在眼前。 一個用於給雲服務公司評分的新的雲成熟度模型承諾為企業提供簡單的指導，針對雲服務公司提供的安全水準，給預期的買方及賣方都帶來了好處，後者現在只需要經歷一次審計過程，而用為每個顧客都進行一次。

所謂的通用保障成熟度模型(Common Assurance Maturity Model，CAMM)是Raj Samani的思想結晶，他是安全界的一名老手，曾經作為顧問在公共部門工作，現在是McAfee公司的歐洲CTO。

CAMM的形成

Samani已經從一家大型企業早期的專案中瞭解到，要和大量的供應商打交道是多麼的困難。 他恰好沒有資源或財力來執行必須的檢查，以確保他們正在照看著這些資訊，這些是資料保護法案背景下他所要負責的資訊。

然而，在和他的父親、倫敦中心的一家旅館擁有人的談話中他找到了解決方案：「我的父親正在抱怨那些想對旅館進行詳細檢查的令人棘手的顧客，他說這會引起很大的麻煩」，Samani說道。 「他的回答是這是一家一星級的旅館，意味著它不是豪華而是廉價的。 這就是所有那些顧客們需要知道的」。

這個事件孕育了類似的五星評分系統，後者可能應用在雲計算服務上。 Samani意識到如果該系統被廣泛採用的話，不僅會讓雲計算服務的顧客們更容易找到恰當的安全級別及服務，同時也緩解了供應商們所經歷的無盡的顧客審計。

這是兩年前的事情，並且從那以後來自各種支援組織的志願者們組成的團隊一直在努力著，但如果CAMM有一些全職的工作人員説明時，這種狀況會很快得到改變。 Samani表示，他將在二月的三藩市CSA峰會上宣佈關於招聘計畫的完整細節。

CAMM元件

Samani說，CAMM模型目的在於涵蓋關於安全的基線控制，但已被設計和其它標準如ISO27001、COBIT及PCI DSS進行交叉映射，因為顧客們對這些標準有特定的需要。

「CAMM模型提供控制的基線級別，然後你可以在上面添加不同的模組」，Samani說道。 「這意味著人們能為他們要求的安全級別進行支付。 所以如果現在你需要在德國找到一家帶有PCI模組的級別為3的供應商，CAMM讓找到這家公司變得更容易了」。

Samani表示，CAMM模型的重要方面之一，是用於執行審計的工具和智慧財產權框架對任何人都是免費的。 「它是愛心的勞動成果」，他補充道。

公司開始使用CAMM模型時唯一需要付費的元件是協力廠商保障中心(Third Party Assurance Centre，TPAC)。 TPAC是關於服務提供者的資訊倉庫，列出他們根據一系列衡量標準得到的安全級別。 TPAC將作為一個市場，旨在為顧客和供應商提供交流。 顧客們會上傳他們的要求，列出CAMM級別加上任他們需要的何其它模組，TPAC將立刻呈現符合他們要求的供應商的簡短清單。

Samani補充道，CAMM模型會有助於安全經理們根據他們的老闆能理解的東西來量化殘餘風險。 「你走到CEO面前並且說，‘我們打算尋找一家級別為3級的公司但是那會留下一些風險’」，Samani說道。 「CEO接著會詢問找一家4或5級的公司要花費多少錢，然後在理解風險後做出判斷。 因為這種時候，你不能有同業務主管談論安全的那種談話」。

最近CAMM模型經歷了有四個試用使用者的Alpha測試，一旦來自這些測試的回饋結果在二月份得到「消化」，在年底大規模啟動前會進行一系列Beta測試。

該專案得到150個組織的支援包括大型雲服務提供者、政府團體以及行業團體諸如CSA和ISACA(資訊系統審計與控制協會)。

對CAMM模型的反應

CAMM方法被普遍視為一個有價值和有前途的方法。 Paul Simmonds談到CAMM發揮了極具價值的作用，他是國際組織Jericho Forum的董事會成員、CSA的安全指導V3版本的合著者。

「CAMM模型已非常深思熟慮，我對此印象十分深刻」，Simmonds說道。 「該模型在它的領域內是模組化的，因此作為雲服務的使用者，你能明確要求在不同的區域需要什麼級別的安全。 CAMM使得更容易找到潛在供應商的簡短清單，並且它會繼續發展為大多數公司可以自我管理的更為完善和徹底的審計方法」。

該倡議還得到了來自歐洲的有力支援，其中包括歐洲網路及資訊安全機構(ENISA)的督導委員會。 「我們堅信CAMM模型是説明雲計算起飛的關鍵所在」，ENISA在希臘Crete島的安全服務專案經理Giles Hogben談道。

不過Hogben提醒注意，任何新的標準應該避免給公司增加額外的費用。 他補充道，按照1到5的範圍來衡量成熟度「可能導致過度簡化」，因此必須小心處理。

(責任編輯：蒙遺善)