2012 年 5 月 17 日,雲端安全聯盟香港及澳門分會正式成立,當日聯盟更於香港數碼港舉行名為“建立對雲端運算之信心”(Building Trust in Cloud Computing) 峰會,出席演講嘉賓包括香港政府資訊科技總監賴鍚璋,雲端安全聯盟行政總裁 Jim Reavis,美國國家標準技術研究所高級計算機科學家 Tim Grance 等等,Linuxpilot 一直關注雲端運算產業發展,於會上訪問了雲端安全聯盟亞太區執行委員會主席 Ken Low,他本人同時是趨勢科技新加坡公司企業安全部總監,是雲端安全領域的專家。
Q Linuxpilot A Ken Low
Q 雲端安全聯盟香港及澳門分會剛剛成立,可否為本地的資訊科技業界人士介紹其成立背景及宗旨,以及目前的最新發展狀況。
A 雲端安全聯盟 (Cloud Security Alliance, CSA) 從 2008 年開始醞釀,直到 2009 年的 RSA 會議中,由數十家業者共同組成了,CSA 是一個非營利性的組織,主要任務是推廣雲端運算的安全應用實務,提供雲端運算一個安全的架構,同時也肩負了教育培訓及相關研究工作,以協助會員組織強化各項雲端運算服務的安全。
到目前為止,CSA 在全球已有 3.5 萬名個人會員,而參與的企業會員已超過 150家,包括電信公司、網路服務供應商、資訊安全供應商、網路安全供應商、資訊安全組織、高性能計算組織、學術及研究機構等,CSA 在全球 60 個地區設立了分會,我們很高興香港及澳門分會在這個關鍵時刻加入,最近新加坡及韓國兩地的政府雲項目已先後推出,今年將是亞太區雲端運算市場起飛之年。
雲端安全知識認證 CCSK (中)
Q 以我們所知,CSA 推出了本身的培訓課程及證書,究竟與市場上現有的資訊安全認證有何分別,為何 CSA 要再辦一個?
A 市場上其實沒有一個像 CSA 般的組織,專門關注雲端運算的安全問題,我們在全球擁有龐大會員組織及豐富資源,使我們有能力推動業界注重雲端安全,而且我們的培訓課程都是建基於我們專家會員主持的研究基礎上。在 2011 年,CSA 推出了幾個重要的專案,其中包括雲端安全指南 3.0 版,當中包括 14 個技術領域的知識,例如虛擬化及數據安全等熱門題目。
在有關的教育計劃之上,CSA 設計了全球第一個雲端安全知識認證(Certificate of Cloud Security Knowledge, CCSK)」,以確保來自各個領域的雲端運算相關工作者,擁有足以對抗雲端運算安全威脅的認知,以及所需的最佳實務來捍衛雲端安全,目前已有超過 1000 名專業人士取得 CCSK 認證。
雲端運算三大安全挑戰 (中)
Q 本次峰會以“建立對雲端運算之信心”為題目,是否意味用戶對雲端運算欠缺信心?雲端運算與 30 年前的主機運算十分類似,在安全性方面有何分別?
A 任何創新科技在採納過程中都需要先增強用戶信心,雲端運算也不例外。雲端運算與主機運算有三大分別,第一,主機只有大型機構才負擔得起,用戶人數有限,但雲端運算卻是面向全球人類,用戶數目龐大,而且不同用戶需要共享運算資源,令安全問題變得更複雜。第二,主機明確限制誰人有權限存取什麼資料,但雲端運算卻有公有雲、私有雲、混合雲多種,數據的監管及存取權限設定必須十分謹慎。第三,主機的數據只存在於一個地方,在不需要時可以徹底刪除,但在雲端運算環境,資料可能分散儲存於不同的數據中心,用戶較難確定數據是否被徹底銷毀,解決方法是將資料加密,令第三者無法讀取。
Q 相對於大企業,個人及中小企沒有專業的保安知識,我們如何分辨哪家雲端運算供應商是真正安全可信?
A 我們也明白用戶在選擇雲端運算供應商時需要指引,所以在 2011 年第四季推出 CSA Security, Trust & Assurance Registry(CSA STAR),作為一個免費、公開的安全信任保證登錄。不論大小的 IaaS、SaaS 與 Paas 雲端供應商,如通過內部審核,確認已遵照我們的指引執行安全措施,便可以在 CSA STAR 上免費註冊,用戶在與雲端供應商簽約之前,可先行查詢其資安狀況,從而加速評估速度,創造更佳的採購經驗。
雲端安全聯盟
https://cloudsecurityalliance.org/
Caption:
(csa01) 雲端安全聯盟香港及澳門分會主席 Antony Ma,亞太區董事總經理 Aloysius Cheang,行政總裁 Jim Reavis 及亞太區執行委員會主席 Ken Low (左至右)。
(csa02) 雲端安全聯盟亞太區執行委員會主席 Ken Low 表示,CSA 的研究項目都是由會員義務執行,目前研究結果是免費公開,內容極之豐富,其精神與開放源碼軟體社群相似。
CSA Hong Kong and Macau Chapter 