2012年5月7日 星期一

雲端運算重點領域安全指南(Security Guidance for Critical Areas of Focus in Cloud Computing)

其實CSA最令人矚目的,除了全球眾多會員的參與,能夠與整個雲端產業緊密的結合之外,就是每隔一段期間為了因應雲端服務的發展,所發佈的雲端運算重要領域安全指南(Security Guidance for Critical Areas of Focus in Cloud Computing),希望能夠協助有意發展雲端服務的企業與組織,可以全方位的思考與評估所應該考量的要素,以及需要留意的事項,目前安全指引第三版已經於2011年11月14日發佈,與先前版本最大的差別,除了調整原本幾個領域(Domain),同樣亦分成了雲端架構(Cloud Architecture)、雲端治理(Governing in the Cloud)、雲端營運(Operating in the Cloud)三個主要部份,其中又細分成14個領域進行評估,包括了雲端運算架構框架(Cloud Computing Architectural Framework)、治理與企業風險管理(Governance and Enterprise Risk Management)、法律議題:合約與電子證據發現(Legal Issues: Contracts and Electronic Discovery)、法規遵循與稽核管理(Compliance and Audit Management)、資訊管理與資料安全(Information Management and Data Security)、相互運作與可移植性(Interoperability and Portability)、傳統安全、營運持續和災難復原(Traditional Security, Business Continuity, and Disaster Recovery)、資料中心營運(Data Center Operations)、事故回應(Incident Response)、應用程式安全(Application Security)、加密與金鑰管理(Encryption and Key Management)、識別、權限與存取管理(Identity, Entitlement, and Access Management)、虛擬化(Virtualization)以及安全即服務(Security as a Service),其中調整了兩個領域的名稱,並且新增加了Security as a Service這個領域,以符合目前與未來近期發雲端安全上的需求。

這十四個領域的範圍已經目前雲端服務的多個面向,不論服務供應商提供的何種服務或服務的模式,幾乎都可以在這些不同的領域中,找到其發展的方法以及對於服務安全或是資料安全的處理原則。

CSA Security Guidance