2012年5月19日 星期六

可信任雲端計算計畫(Trusted Cloud Initiative)

可信任雲端計算計畫(TCI, Trusted Cloud Initiative),這是在2010年3月5日,Novell與雲端安全聯盟(CSA)共同宣佈一項供應商中立計畫,以協盼改善目前提供雲端服務的供應商,尚缺少可以提供使用者信任的架構,在傳統提供服務的架構中,企業可以運用網路設備、資訊安全的偵測防禦設備,針對需要保護的重要資訊資產進行防護,而且有許多建置成功的實際案例,可以做為參考,雲端服務的型態,也成為近期與未來的發展趨勢,尤其許多提供公開服務的雲端服務 ,對於使用者而言,並無法使用傳統的資安防護方式進行保護,因此對於雲端服務供應商的服務平台與服務,就需要藉由第三方的認證來解決服務供商與服務使用者雙方互相信任的問題,而「可信任雲端計畫」就是為了提供一個能夠受到公評與檢驗的架構而產生。

(圖)TCI Reference Architecture

在可信任的雲端計算計畫中,主要採行了多種目前針對資訊資產與資訊服務進行的驗證標準,包括了SABSA、ITIL、TOGAF以及Jericho等,在目前的資訊服務環境,許多企業為了提供客戶或是使用者相對的保證,都會依循這些不同的國際標準,進行資訊系統的建置與部署,對於資訊的處理,也會依照這些標準所提列的原則,進行資料與資訊的管理,以確保使用者可以得到一定程度的保證,雲端服務牽涉多種資訊服務架構與資源的整合,對於使用者身份的認證以及對於使用者資料、雲端運算資料等多種與使用者相關的機敏資訊,都必須提供足夠的保證,而目前大多數的服務供應商,都無法提供這樣的保證,僅有少數幾家全球性的世界大廠,才能有足夠的資源從根本的架構、平台的提供以及應用程式的服務方式,進行完善的規劃,也才有機會建構出完整的雲端運算安全架構。

許多雲端服務的供應商或是其中的開發人員,大多數皆是技術背景出身,因此在開發的過程中,經常僅針對服務平台的功能進行改善,鮮少針對其中需要處理的資料以及對於資料的保護方式進行著墨,而雲端安全聯盟(CSA)所發展的可信任雲端計算計畫,剛好可以提供技術人員在開發雲端服務的各項功能時,可以直接參考可信任雲端計算計畫所提供的架構以及相對應的法規要求,開發出來的平台相信更能符合法規上的要求,對於雲端服務的使用而言,也可以得到供應商所提供的保證。

可信任雲端計算計畫(TCI, Trusted Cloud Initiative)
https://research.cloudsecurityalliance.org/tci/