上周,CSA在德国举行的2012年安全云会议上宣布了其开放式的认证框架(Open Certification Framework)。该框架旨在使云供应商实施的安全控制认证符合CSA的指导。CSA执行总监Jim Reavis在接受电话采访中说道,该项目与标准制定机构(比如ISO)合作,既可以为云服务提供商提供认证,又可以提供独立的认证。
例如,该框架将提供划定范围的文件,使提供商能够获得包含了CSA云控制矩阵(CSA Cloud Controls Matrix)的ISO27001认证,他说道。 它还将提供针对集成了CCM(SSAE 16取代了SAS 70)的SSAE 16认证的指导。以上各情况下产生的认证都能够得到CSA的认同。
Reavis表示,为供应商提供的CSA云安全认证越来越专用,涉及到现有安全、信任和保证注册(Security、Trust and Assurance Registry ,STAR),并考虑到一级自我评估,类似于PCI数据结构的安全标准。CSA在去年发布的STAR是让云服务提供商安全控制在线注册。目前为止,STAR有一些参与者,包括微软和Solutionary。
Reavis表示,非营利机构CSA尚未决定是否用自己的第三方认证评估。他说道,虽然美国通过FedRAMP已经开发出一个云提供商安全框架,但CSA正在与其他国家合作,基于CSA GRC堆栈和STAR开发他们自己的框架。
“看上去不会由一个认证来控制一切,”Reavis表示,“很明显,在我们跟不同的政府谈话中,一些想要向国际标准看齐,但又有一些想要自己掌控的标准。我们很乐意为他们提供需要的,帮他们建立自己的框架。”
提倡开放认证框架有好的一面也有坏的一面,他补充道。从积极的一面来看,CSA已收到越来越多来自政府机构和私营部门针对云供应商认证的请求。“他们说,‘我们喜欢你所做的工作,并想推广STAR,但我们需要更多细节,需要看到更为具体的认证。’”
消极的一见面是,CSA受到越来越多的关注,如果等待时间过长,一些地区组织和一些营利性实体将很快为提供商宣布云安全认证,而不遵循适当的最佳实践。他说,“我们不想因此成为最简单的方法,导致认证缺乏完整性。”
CSA计划在9月的CSA欧洲大会上发布一个详细的开放认证框架规划图。该规划中将包含一个连续控制监测计划,Reavis说这是必不可少的。他预计可在明年第二季度发布第一个供应商认证。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国