CSA为服务提供商发布云安全认证倡议

　　上周，CSA在德国举行的2012年安全云会议上宣布了其开放式的认证框架(Open Certification Framework)。该框架旨在使云供应商实施的安全控制认证符合CSA的指导。CSA执行总监Jim Reavis在接受电话采访中说道，该项目与标准制定机构(比如ISO)合作，既可以为云服务提供商提供认证，又可以提供独立的认证。

　　例如，该框架将提供划定范围的文件，使提供商能够获得包含了CSA云控制矩阵(CSA Cloud Controls Matrix)的ISO27001认证，他说道。 它还将提供针对集成了CCM(SSAE 16取代了SAS 70)的SSAE 16认证的指导。以上各情况下产生的认证都能够得到CSA的认同。

　　Reavis表示，为供应商提供的CSA云安全认证越来越专用，涉及到现有安全、信任和保证注册(Security、Trust and Assurance Registry ，STAR)，并考虑到一级自我评估，类似于PCI数据结构的安全标准。CSA在去年发布的STAR是让云服务提供商安全控制在线注册。目前为止，STAR有一些参与者，包括微软和Solutionary。

　　Reavis表示，非营利机构CSA尚未决定是否用自己的第三方认证评估。他说道，虽然美国通过FedRAMP已经开发出一个云提供商安全框架，但CSA正在与其他国家合作，基于CSA GRC堆栈和STAR开发他们自己的框架。

　　“看上去不会由一个认证来控制一切，”Reavis表示，“很明显，在我们跟不同的政府谈话中，一些想要向国际标准看齐，但又有一些想要自己掌控的标准。我们很乐意为他们提供需要的，帮他们建立自己的框架。”

　　提倡开放认证框架有好的一面也有坏的一面，他补充道。从积极的一面来看，CSA已收到越来越多来自政府机构和私营部门针对云供应商认证的请求。“他们说，‘我们喜欢你所做的工作，并想推广STAR，但我们需要更多细节，需要看到更为具体的认证。’”

　　消极的一见面是，CSA受到越来越多的关注，如果等待时间过长，一些地区组织和一些营利性实体将很快为提供商宣布云安全认证，而不遵循适当的最佳实践。他说，“我们不想因此成为最简单的方法，导致认证缺乏完整性。”

　　CSA计划在9月的CSA欧洲大会上发布一个详细的开放认证框架规划图。该规划中将包含一个连续控制监测计划，Reavis说这是必不可少的。他预计可在明年第二季度发布第一个供应商认证。