蔡一郎的部落格

Yilang's Blogger

漫談CSA APAC Congress 2013年會

Published by Yi-Lang Tsai under , , on 上午7:00
雲端安全是近幾年來相當熱門的議題,可以預見的還會再延燒個幾年,畢竟網路上的使用者,最在意的還是資訊的安全,因此不論使用何種雲端的服務,大多會想到放在雲端服務平台裏面的資料,是否能夠達到安全的保證,這個也是許多人在聽到「雲端」時,可能一開始沒有感覺,但是使用久了就會想起安全的問題,尤其台灣在個資法實施之後,許多雲端的服務開始面臨對於使用者個資保護上的挑戰,例如:雲端供應商如何確保使用者的隱私權等,這些都會是未來需要解決的問題,CSA也正推動相關的研究工作,例如:PLA(Privacy Level Agreement) Working Group等,希望能夠建立一套可信任的處理流程或是發展成為標準,針對雲端服務供應商進行驗證,配合持續稽核的機制,改善供應商的合規問題。

今年的CSA APAC Congress 2013除了發佈目前CSA的最新近況之外,也針對一些重要的議題進行討論,主要是凝聚亞太區的分會與相關的雲端研究人員,進行彼此意見的交流,以符合地區發展上的需求,並同時與全球的發展趨勢接軌,而今年台灣的年度會議,也預計會安排在10月下旬到11月上旬之間,屆時也期望將國際上的發展現況帶回台灣與國內各界進行分享。


這次的CSA APAC Congress與Cloud Asia同一時間辦理,也算是成今年到目前為止是亞太區最大一次的雲端安全會議,也聚集了許多的雲端服務供應商、軟硬體設備製造商或是相關的研究廠商,以及廣大關治雲端議題的使用者,透過這個平台提供了不同層次的經驗交流。


大多數開發軟體的人員,比較少著重軟體的發展流程,不過因應雲端服務的特性,其實雲端環境中的軟體開發工作,相較傳統的資訊服務方式,有著更顯著的挑戰,主要在於雲端服務平台大多以Web-Based的主要的使用者界面,後端的管理工作,也大多使用Web-Based的界面,因此網頁程式本身的保護,以及對於平台與使用者在互動過程,所可能產生的問題,必須一一進行解決,另外因為此類的服務,傳統的資安防禦架構並無法有效的阻絕來自網路上的攻擊,因此在發展雲端防禦機制時,必須配合發展適當的架構,針對雲端平台、使用者資料以及相關的資料或資料庫進行保護,除了必須建立「使用者端」以及「雲端」的端點防護之外,對於通訊的方式也需要有適當的防禦,以避免通訊的內容遭到側錄或竊取。


軟體的發展是雲端服務平台中相當重要的角色,軟體決定雲端平台的服務模式,而服務模式取決於對於使用者的服務型態,也可能影響到平台的發展藍圖,這些都是在研發之初,就需要考量到的問題。


這次資策會的毛敬豪博士也在CSA APAC Congress以「Big Data in Cloud – Mining Billion Nodes Malicious Network Behavior in Big Data」發表研發的心得,以巨量資料的概念應用於網路惡意行為的分析。

雲端安全的議題仍然持續發展中,不過因應各國不同的風土民情,不同的產業特性、不同的法規要求,因此在發展的過程,仍然會遇到許多無法一體適用的問題,透過國際組織發展一致性的原則,再由各國進行相關的發展,以符合當地的需求,應該是較好的發展模式。


這一次的CSA APAC Congress 2013會議,有幸與其它國家的雲端專家共同擔任Programme Committee的成員,負責Review與決定投稿的文章是否同意在CSA APAC Congress 2013會議上發表,也希望讓與會人員能夠聆聽到高品質的專業議題分享。





相關網站:
Cloud Security Alliance https://cloudsecurityalliance.org/
CSA APAC Congress 2013 http://www.csa-apac.org/