近幾年來,許多企業已經逐漸採用雲端運算,企圖藉此減少成本與改善經營的靈活度,而當務之急在於,如何確保這樣的環境,能夠基於可信賴的方式下永續實作,並且搭配適當的安全控管機制。

專門針對雲端安全知識的認證

若想要掌握雲端安全的主要知識,目前雲端安全聯盟已經發展出一份可廣泛採用的最佳安全性實務,也就是雲端運算安全指引《Security Guidance for Critical Areas of Focus in Cloud Computing》,此外,還可以參考歐洲網路資訊安全局(ENISA)的雲端運算安全白皮書《Cloud Computing: Benefits, Risks and Recommendations for Information Security》。

對個人而言,雲端安全聯盟也在2010年正式推出第一套針對使用者的雲端安全知識認證計畫,稱為CCSK(Certificate of Cloud Security Knowledge),在設計上,它是為了確保各相關領域的工作者,可以對雲端運算上的安全威脅有所認知,並且能獲得保護雲端環境的最佳實務。在這項個人認證考試中會檢驗的重要觀念,主要涵蓋了CSA安全指引與ENISA白皮書,作為雲端安全的核心知識領域。

CCSK認證的目的,在於希望建立個人對雲端安全知識的了解能有穩定的基礎,而結合了專業認證機制後,CCSK將有助於對使用者的能力認定上,提供足夠的保障。

CCSK認證考試的進行方式

從那一年9月開始,CCSK的線上考試已經開放申請,費用為295美元,沒有特別的有效期限規定,而且申請報名一次,你實際上可以考兩次(two test tokens),若第一次考過,第二次考試機會就會自動失效。

這個考試裡面包含50個多重選擇題,需在60分鐘內完成答題(不能暫停答題或延至其他時間答題),需答對80%才及格(也就是答對40題以上),主要是驗證個人在雲端安全重要議題上的能力。考試時間並不需要特別預約,隨時都可以透過電腦的瀏覽器登入網址來應試。

萬一,第一次沒考過,雲端安全聯盟建議你不要急著重考,而是先花幾天時間重新閱讀雲端安全核心知識相關的文件,或許解答就會油然而生。

根據《CCSK Prep Guide》這份文件的解釋,CCSK目前出題範圍內,有70%是CSA的安全指引2.1版,而20%是ENISA白皮書,10%是關於雲端安全知識應用,也就是與上述兩份文件中相關的最佳實務。

總而言之,準備CCSK認證考試的最好方法,就是徹底閱讀與了解兩份關於雲端安全文件的核心知識內容。

從定位來看,CSA並不認為CCSK能夠取代其他資訊安全、稽核與治理方面的證照,而是擴大這些證照在雲端安全最佳實務上應用的能力,協助個人可以去面對日益增加、普遍的雲端運算議題。因此CCSK會因應未來認證上的基礎需求,尤其是針對特定領域、管理與技術能力來發展。

在證照本身的有效期間,CSA表示,CCSK不會有過期失效的狀況,不過CSA會將認證給予版本編號,以便表示與特定知識主體的關係。換言之,當雲端安全相關的核心知識異動時,CCSK考試內容也會需要更新。

而規則上,CSA現在是這麼認定的。當你通過舊的CCSK考試後的12個月內,可以免費報考新版的CCSK考試,若通過舊版考試,但超過12個月再報考,只享有報名上的折扣。

要申請CCSK認證考試,可直接透過網頁線上報名,而答題時,也是透過網頁的介面提交答案。

[圖表]CCSK雲端安全認證的考試範圍(1) 點此看圖

[圖表]CCSK雲端安全認證的考試範圍(2) 點此看圖

[圖表]CCSK雲端安全認證的考試範圍(3) 點此看圖


相關報導請參考「建構安全雲端環境的關鍵Know How」

熱門新聞

Advertisement