云安全联盟注册项目举步维艰
去年八月,云安全联盟(CSA)在拉斯维加斯举行的黑帽安全大会上宣布了一个注册项目,云安全联盟希望通过这个项目云用户能够方便地评估和比较云供应商的安全控制情况。但是到目前为止,只有三家公司提交了他们的云安全数据,使这个注册项目的使用非常有限。
安全、信任与保证注册项目 (简称“STAR”)旨在使用170分的问卷调查来评估运供应商的安全功能,最终用户随后能够查看这些评估结果。在云安全联盟宣布STAR项目不久后,一些大品牌(例如谷歌、英特尔、McAfee、Verizon和微软等)都同意参加该项目,然而,到目前为止,微软是这些供应商中唯一提交了数据的。
云计算行业Gartner分析师Kyle Hilgendorf对于没有更多供应商加入这个项目感到失望。这个项目可能为最终用户提供关于云供应商有价值的信息,但只有当大部分公司加入这个项目才能实现这个目的。
Hilgendorf表示:“如果你只有三四个供应商,最终用户根本无法从整个市场的角度来衡量云供应商。”
云安全联盟执行总监Jim Reavis仍然看好这个项目,并表示预计在今年年底将会有更多供应商提交数据,几个供应商正在提交数据的后期阶段。他表示:“一切从头开始。”
影响这个项目的关键的问题在于供应商愿意和能够透露哪些信息。Jon Heimerl是托管安全服务供应商Solutionary公司的安全战略主管,这家公司是向STAR提交数据的三家供应商之一。而云端电子邮件优化和安全服务公司Mimecast是第三家提交数据的公司。
Heimerl表示:“我们尽可能明确地回答这些问题,而没有透露太多关于我们安全协议的机密信息。”Solutionary采取的办法是回答一些问题,然后如果感兴趣的客户需要额外的信息时,可以联系他们。
例如,Heimerl表示,在回答关于信息加密的问题时,该公司的回答是:他们使用256字节的加密代码和设备硬化方法。然而,他们没有透露究竟这些设备硬化方法是什么。
STAR工作人员称注册项目旨在审查供应商的云安全做法,而不是泄露可能破坏供应商网络或者客户数据的信息。
Reavis表示:“我们询问的信息并没有详细到会带来安全风险。”不过,他表示供应商必须权衡哪些安全信息他们能够公开而不会带来安全风险。Reavis表示,所有云供应商都有STAR需要的信息,问题是他们如何选择公开哪些信息。
Hilgendorf表示,一些供应商犹豫是否参加STAR的另一个原因是因为他们已经以不同方式透露了大部分这些信息。Amazon Web Services、谷歌和其他供应商在其网站上有专门的安全控制板块。一些供应商可能正在权衡提交信息到云安全联盟的价值,因为这些信息已经在其他地方公开了。还有一些安全证书标准,例如国际标准化组织(ISO)合规、支付卡行业(PCI)合规和联邦信息安全管理认证(FISMA)。如果企业已经遵守FISMA,Hilgendorf不知道这些企业是否觉得有必要参与云安全联盟的项目。
Reavis表示,这个问卷调查基本上是基于这些认证,并且询问相同类型的信息。
Hilgendorf表示,这些是对客户有用的信息。云安全联盟的网站提供了这个问卷调查的下载,这份问卷调查由170道是否题组成。问题范围从供应商的合规和认证情况,到有多少客户数据存储在云端,还有是否客户可以访问供应商的审计信息,以及供应商进行了何种类型的审计和漏洞测试。另外还有关于数据是如何分离以确保来自多个客户的数据不会混淆的问题,也有关于数据中心安全的问题。
向STAR提交了数据的三家公司之一的Mimecast公司产品营销经理Orlando Scott-Cowley表示,对于供应商而言,他们能够向客户正面他们对待安全的认真态度。