解析雲端運算有關認驗證機制與資安標準發展

解析雲端運算有關認驗證機制與資安標準發展

科技法律研究所
2013年12月04日

壹、前言
  2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。

  資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。

貳、雲端運算資訊安全之控制依循
  雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。

  在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。

一、ENISA「資訊安全確保架構」[3]
  歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。

  值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]

  雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。

  在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]

  在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。

  在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。

二、CSA「雲端資訊安全控制架構」[6]
  CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。

  舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。

三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9]
  日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。

  舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]

参、針對雲端運算之認證與登錄機制
一、CSA雲端安全知識認證
  CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。

二、CSA雲端安全登錄機制
  由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。

  (一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。

  (二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。

  資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。

  另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。

三、日本-安全・信頼性資訊開示認定制度
  由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。

  此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。

肆、雲端運算資訊安全國際標準之形成
  現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。

[2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009).

[3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework .

[4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009).

[5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009).

[6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013).

[7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013).

[9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。

[10]日本経済産業省,〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉,頁36(2011)年。

[11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。

[12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。

[13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。

[14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013).

[15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection,  controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html  (last visited Nov. 20, 2013).

本文為「經濟部產業技術司科技專案成果」

※ 解析雲端運算有關認驗證機制與資安標準發展, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=6402 (最後瀏覽日:2024/10/24)
引註此篇文章
你可能還會想看
Google被控不當蒐集蘋果公司Safari瀏覽器用戶的個人資料

  案件緣於Judith Vidal-Hall等三人對Google提告,主張Google規避蘋果公司Safari瀏覽器預設之隱私設定,在未取得用戶同意前,逕行使用cookies追蹤其網路活動,蒐集瀏覽器產生的資訊(the Browser-Generated Information, or ‘BGI’),並利用其對用戶發送目標廣告。原告認為這些作法可能使用戶的隱私資訊被第三人所探知,而且與Google保護隱私之公開聲明立場相違。此案於2015年3月27日由英國上訴審法官做成判決,並進入審理程序(裁判字號:[2015] EWCA Civ 311)。   本案主要爭點包含,究竟用戶因使用瀏覽器所產生的資訊是否屬於個人資料?濫用隱私資訊是否構成侵權行為?以及在沒有金錢損失(pecuniary loss)的情形下,是否仍符合英國資料保護法(Data Protection Act 1998)第13條所指損害(damage)的定義,進而得請求損害賠償?   法院於判決認定,英國資料保護法旨在實現「歐盟個人資料保護指令」(Data Protection Directive,95/46/EC)保護隱私權的規定,而非經濟上之權利,用以確保資料處理系統(data-processing systems)尊重並保護個人的基本權利及自由。並進一步說明,因隱私權的侵害往往造成精神損害,而非財產損害,從歐洲人權公約(European Convention of Human Rights)第八條之規定觀之,為求對於隱私權的保障,允許非財產權利的回復;倘若限縮對於損害(damage)的解釋,將會有礙於「歐盟個人資料保護指令」立法目的的貫徹。   法院強調,該判決並未創造新的訴因(cause of action),而是對於已經存在的訴因給予正確的法律定位。從而,因資料控制者(data controller)的不法侵害行為的任何損害,都可以依據英國資料保護法第13條第2項請求損害賠償。   本案原告律師表示:「這是一則具有里程碑意義的判決。」、「這開啟了一扇門,讓數以百萬計的英國蘋果用戶有機會對Google提起集體訴訟」。原告之一的Judith Vidal-Hall對此也表示肯定:「這是一場以弱勝強(David and Goliath)的勝利。」   註:Google 在2012年,曾因對蘋果公司在美國蒐集使用Safari瀏覽器用戶的個資,與美國聯邦貿易委員會(United States Federal Trade Commission)以2,250萬美元進行和解。

醫療物聯網(The Internet of Medical Things, IoMT)

  醫療物聯網(The Internet of Medical Things, IoMT)之意義為可通過網路,與其它使用者或其它裝置收集與交換資料之裝置,其可被用來讓醫師更即時地瞭解病患之狀況。   就運用的實例而言,於診斷方面,可利用裝置來連續性地收集關鍵之醫學參數,諸如血液生化檢驗數值、血壓、大腦活動和疼痛程度等等,而可幫助檢測疾病發作或活動的早期跡象,從而改善反應。於療養方面,由於患者的手術後恢復時間是整個成本花費之重要部分,故縮短療養時間是減少成本之重要要素。可利用穿戴式感測器來幫助運動、遠端監控,追蹤各種關鍵指標,警示護理人員及時作出回應,並可與遠距醫療相結合,使加速恢復更加容易。於長期護理方面,可藉由裝置之測量與監控來避免不良結果與延長之恢復期。   由於機器學習和人工智慧之共生性增長,醫療物聯網之價值正在增強。於處理來自於感測器醫療裝置之大量連續資訊流時,資料分析和機器學習可更快地提供可據以執行之結論以幫助治療過程。惟醫療物聯網亦可能面臨安全與標準化之挑戰。由於醫療保健的資料是駭客的主要目標,任何與網路連接之設備都存在安全性風險。此外,隨著相關裝置被廣泛地運用,即需要標準化以便利裝置之間的通訊,製造商和監管機構皆需尋找方法來確保裝置可在各種平台上安全地通訊。

美國參議院提出「2019年物聯網網路安全促進法」草案

  自2016年Mirai殭屍網路攻擊事件後,物聯網設備安全成為美國國會主要關注對象之一,參議院於2017年曾提出「2017年物聯網網路安全促進法」(Internet of Things Cybersecurity Improvement Act of 2017)草案,防止美國政府部門購買有明顯網路安全性漏洞之聯網設備,並制定具體規範以保護聯網設施之網路安全,然而該法案最終並未交付委員會審議。   2019年4月,美國參議員Mark Warner提出「2019年物聯網網路安全促進法」草案(Internet of Things Cybersecurity Improvement Act of 2019),再度嘗試建立物聯網網路安全監管框架。本法將授權主管機關建立物聯網設備所應具備之安全性條件清單,而該清單將由美國國家標準與技術研究院(National Institute of Standards and Technology)擬定,並由管理與預算局(Office of Management and Budget, OMB)負責督導後續各聯邦機關導入由美國國家標準與技術研究院所制定之網路安全指引。本法草案相較於2017年的版本而言雖較具彈性,惟網路安全專家指出,清單之擬定與執行管理分別交由不同單位主責,未來可能導致規範無法被有效執行,且聯邦各層級單位所需具備之資安防護等級不盡相同,如何制宜亦係未來焦點。

歐盟資通安全局(ENISA)提出資通安全驗證標準化建議

  歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。   受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。   ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎: ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。   然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。

TOP