雲安全聯盟註冊專案舉步維艱

去年八月，雲安全聯盟(CSA)在拉斯維加斯舉行的黑帽安全大會上宣佈了一個註冊專案，雲安全聯盟希望通過這個專案雲使用者能夠方便地評估和比較雲供應商的安全控制情況。 但是到目前為止，只有三家公司提交了他們的雲安全資料，使這個註冊專案的使用非常有限。

安全、信任與保證註冊專案 (簡稱「STAR」)旨在使用170分的問卷調查來評估運供應商的安全功能，最終使用者隨後能夠查看這些評估結果。 在雲安全聯盟宣佈STAR專案不久後，一些大品牌(例如谷歌、英特爾、McAfee、Verizon和微軟等)都同意參加該專案，然而，到目前為止，微軟是這些供應商中唯一提交了資料的。

雲計算行業Gartner分析師Kyle Hilgendorf對於沒有更多供應商加入這個專案感到失望。 這個專案可能為最終使用者提供關於雲供應商有價值的資訊，但只有當大部分公司加入這個專案才能實現這個目的。

Hilgendorf表示：「如果你只有三四個供應商，最終使用者根本無法從整個市場的角度來衡量雲供應商。 」

雲安全聯盟執行總監Jim Reavis仍然看好這個專案，並表示預計在今年年底將會有更多供應商提交資料，幾個供應商正在提交資料的後期階段。 他表示：「一切從頭開始。 」

影響這個專案的關鍵的問題在於供應商願意和能夠透露哪些資訊。 Jon Heimerl是託管安全服務供應商Solutionary公司的安全戰略主管，這家公司是向STAR提交資料的三家供應商之一。 而雲端電子郵件優化和安全服務公司Mimecast是第三家提交資料的公司。

Heimerl表示：「我們盡可能明確地回答這些問題，而沒有透露太多關於我們安全協定的機密資訊。 」Solutionary採取的辦法是回答一些問題，然後如果感興趣的客戶需要額外的資訊時，可以聯繫他們。

例如，Heimerl表示，在回答關於資訊加密的問題時，該公司的回答是：他們使用256位元組的加密代碼和設備硬化方法。 然而，他們沒有透露究竟這些設備硬化方法是什麼。

STAR工作人員稱註冊專案旨在審查供應商的雲安全做法，而不是洩露可能破壞供應商網路或者客戶資料的資訊。

Reavis表示：「我們詢問的資訊並沒有詳細到會帶來安全風險。 」不過，他表示供應商必須權衡哪些安全資訊他們能夠公開而不會帶來安全風險。 Reavis表示，所有雲供應商都有STAR需要的資訊，問題是他們如何選擇公開哪些資訊。

Hilgendorf表示，一些供應商猶豫是否參加STAR的另一個原因是因為他們已經以不同方式透露了大部分這些資訊。 Amazon Web Services、谷歌和其他供應商在其網站上有專門的安全控制板塊。 一些供應商可能正在權衡提交資訊到雲安全聯盟的價值，因為這些資訊已經在其他地方公開了。 還有一些安全證書標準，例如國際標準組織(ISO)合規、支付卡行業(PCI)合規和聯邦資訊安全管理認證(FISMA)。 如果企業已經遵守FISMA，Hilgendorf不知道這些企業是否覺得有必要參與雲安全聯盟的專案。

Reavis表示，這個問卷調查基本上是基於這些認證，並且詢問相同類型的資訊。

Hilgendorf表示，這些是對客戶有用的資訊。 雲安全聯盟的網站提供了這個問卷調查的下載，這份問卷調查由170道是否題組成。 問題範圍從供應商的合規和認證情況，到有多少客戶資料存儲在雲端，還有是否客戶可以訪問供應商的審計資訊，以及供應商進行了何種類型的審計和漏洞測試。 另外還有關于資料是如何分離以確保來自多個客戶的資料不會混淆的問題，也有關于資料中心安全的問題。

向STAR提交了資料的三家公司之一的Mimecast公司產品行銷經理Orlando Scott-Cowley表示，對於供應商而言，他們能夠向客戶正面他們對待安全的認真態度。

「任何人都可以聲稱自己是雲供應商，但是讓客戶瞭解你的安全控制情況是非常重要的，」他表示，「我們不會透露任何關於資料是如何保護的重要資訊。 」

Hilgendorf預計也許這個註冊專案能夠説明中小企業供應商證明他們的安全控制情況以向市場展示其實力。 但是只有當雲安全聯盟的其他130位成員參加這個專案，才能夠實現真正的價值。 (鄒錚編譯)

(責任編輯：蒙遺善)