云成熟度關(guān)乎中小企業(yè)的再度發(fā)展

幾乎在每個(gè)關(guān)于云計(jì)算的調(diào)查中，公司對(duì)采用基于云的技術(shù)猶豫不決的眾多原因中，安全都排名靠前。并且確實(shí)如此，如果無法確定你的數(shù)據(jù)會(huì)被如何對(duì)待，以及是否得到充分地保護(hù)，那么盲目地采用云服務(wù)就只是有勇無謀的行為，即使云服務(wù)在經(jīng)濟(jì)上的利益看起來十分誘人。

那么，企業(yè)怎樣才能證實(shí)云服務(wù)提供商是否達(dá)標(biāo)準(zhǔn)？大型公司和政府部門或許有影響力來要求對(duì)云提供商的場(chǎng)所和流程進(jìn)行詳細(xì)的考察。然而，小公司們可能就不太受歡迎了。

最值得人注意的是來自于云安全聯(lián)盟(Cloud Security Alliance，CSA)的幾個(gè)倡議，已經(jīng)在設(shè)法幫助企業(yè)至少商定出正確的問題來詢問預(yù)期的服務(wù)提供商，但這可能仍是一項(xiàng)緩慢且艱巨的任務(wù)。并且正如我們已經(jīng)注意到的，小型企業(yè)向大型的云服務(wù)提供商提交問卷只能期望很少的合作，更別提得到回答了。

但希望可能就在眼前。一個(gè)用于給云服務(wù)公司評(píng)分的新的云成熟度模型承諾為企業(yè)提供簡單的指導(dǎo)，針對(duì)云服務(wù)公司提供的安全水平，給預(yù)期的買方及賣方都帶來了好處，后者現(xiàn)在只需要經(jīng)歷一次審計(jì)過程，而用為每個(gè)顧客都進(jìn)行一次。

所謂的通用保障成熟度模型(Common Assurance Maturity Model，CAMM)是Raj Samani的思想結(jié)晶，他是安全界的一名老手，曾經(jīng)作為顧問在公共部門工作，現(xiàn)在是McAfee公司的歐洲CTO。

CAMM的形成

Samani已經(jīng)從一家大型企業(yè)早期的項(xiàng)目中了解到，要和大量的供應(yīng)商打交道是多么的困難。他恰好沒有資源或財(cái)力來執(zhí)行必須的檢查，以確保他們正在照看著這些信息，這些是數(shù)據(jù)保護(hù)法案背景下他所要負(fù)責(zé)的信息。

然而，在和他的父親、倫敦中心的一家旅館擁有人的談話中他找到了解決方案：“我的父親正在抱怨那些想對(duì)旅館進(jìn)行詳細(xì)檢查的令人棘手的顧客，他說這會(huì)引起很大的麻煩”，Samani說道?！八幕卮鹗沁@是一家一星級(jí)的旅館，意味著它不是豪華而是廉價(jià)的。這就是所有那些顧客們需要知道的”。

這個(gè)事件孕育了類似的五星評(píng)分系統(tǒng)，后者可能應(yīng)用在云計(jì)算服務(wù)上。Samani意識(shí)到如果該系統(tǒng)被廣泛采用的話，不僅會(huì)讓云計(jì)算服務(wù)的顧客們更容易找到恰當(dāng)?shù)陌踩?jí)別及服務(wù)，同時(shí)也緩解了提供商們所經(jīng)歷的無盡的顧客審計(jì)。

這是兩年前的事情，并且從那以后來自各種支持組織的志愿者們組成的團(tuán)隊(duì)一直在努力著，但如果CAMM有一些全職的工作人員幫助時(shí)，這種狀況會(huì)很快得到改變。Samani表示，他將在二月的舊金山CSA峰會(huì)上宣布關(guān)于招聘計(jì)劃的完整細(xì)節(jié)。

CAMM組件

Samani說，CAMM模型目的在于涵蓋關(guān)于安全的基線控制，但已被設(shè)計(jì)和其它標(biāo)準(zhǔn)如ISO27001、COBIT及PCI DSS進(jìn)行交叉映射，因?yàn)轭櫩蛡儗?duì)這些標(biāo)準(zhǔn)有特定的需要。

“CAMM模型提供控制的基線級(jí)別，然后你可以在上面添加不同的模塊”，Samani說道?！斑@意味著人們能為他們要求的安全級(jí)別進(jìn)行支付。所以如果現(xiàn)在你需要在德國找到一家?guī)в蠵CI模塊的級(jí)別為3的提供商，CAMM讓找到這家公司變得更容易了”。

Samani表示，CAMM模型的重要方面之一，是用于執(zhí)行審計(jì)的工具和知識(shí)產(chǎn)權(quán)框架對(duì)任何人都是免費(fèi)的?！八菒坌牡膭趧?dòng)成果”，他補(bǔ)充道。

公司開始使用CAMM模型時(shí)唯一需要付費(fèi)的組件是第三方保障中心(Third Party Assurance Centre，TPAC)。TPAC是關(guān)于服務(wù)提供商的信息倉庫，列出他們根據(jù)一系列衡量標(biāo)準(zhǔn)得到的安全級(jí)別。TPAC將作為一個(gè)市場(chǎng)，旨在為顧客和提供商提供交流。顧客們會(huì)上傳他們的要求，列出CAMM級(jí)別加上任他們需要的何其它模塊，TPAC將立刻呈現(xiàn)符合他們要求的供應(yīng)商的簡短列表。

Samani補(bǔ)充道，CAMM模型會(huì)有助于安全經(jīng)理們根據(jù)他們的老板能理解的東西來量化殘余風(fēng)險(xiǎn)?！澳阕叩紺EO面前并且說，‘我們打算尋找一家級(jí)別為3級(jí)的公司但是那會(huì)留下一些風(fēng)險(xiǎn)’”，Samani說道。“CEO接著會(huì)詢問找一家4或5級(jí)的公司要花費(fèi)多少錢，然后在理解風(fēng)險(xiǎn)后做出判斷。因?yàn)檫@種時(shí)候，你不能有同業(yè)務(wù)主管談?wù)摪踩哪欠N談話”。

最近CAMM模型經(jīng)歷了有四個(gè)試用用戶的alpha測(cè)試，一旦來自這些測(cè)試的反饋結(jié)果在二月份得到“消化”，在年底大規(guī)模啟動(dòng)前會(huì)進(jìn)行一系列beta測(cè)試。

該項(xiàng)目得到150個(gè)組織的支持包括大型云服務(wù)提供商、政府團(tuán)體以及行業(yè)團(tuán)體諸如CSA和ISACA(信息系統(tǒng)審計(jì)與控制協(xié)會(huì))。

對(duì)CAMM模型的反應(yīng)

CAMM方法被普遍視為一個(gè)有價(jià)值和有前途的方法。Paul Simmonds談到CAMM發(fā)揮了極具價(jià)值的作用，他是國際組織Jericho Forum的董事會(huì)成員、CSA的安全指導(dǎo)V3版本的合著者。

“CAMM模型已非常深思熟慮，我對(duì)此印象十分深刻”，Simmonds說道。“該模型在它的領(lǐng)域內(nèi)是模塊化的，因此作為云服務(wù)的用戶，你能明確要求在不同的區(qū)域需要什么級(jí)別的安全。CAMM使得更容易找到潛在供應(yīng)商的簡短列表，并且它會(huì)繼續(xù)發(fā)展為大多數(shù)公司可以自我管理的更為完善和徹底的審計(jì)方法”。

該倡議還得到了來自歐洲的有力支持，其中包括歐洲網(wǎng)絡(luò)及信息安全機(jī)構(gòu)(ENISA)的督導(dǎo)委員會(huì)。“我們堅(jiān)信CAMM模型是幫助云計(jì)算起飛的關(guān)鍵所在”，ENISA在希臘Crete島的安全服務(wù)項(xiàng)目經(jīng)理Giles Hogben談道。

不過Hogben提醒注意，任何新的標(biāo)準(zhǔn)應(yīng)該避免給公司增加額外的費(fèi)用。他補(bǔ)充道，按照1到5的范圍來衡量成熟度“可能導(dǎo)致過度簡化”，因此必須小心處理。

免費(fèi)版云計(jì)算事業(yè)部網(wǎng)站：http://www.siyouyun.net

發(fā)布：2007-03-16 10:01 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：