Subscribe to receive notifications of new posts:

對客戶網路安全的承諾

03/18/2022

7 min read

Cloudflare 自成立以來就持續投入心力來保護全球各地的客戶。我們的服務能夠保護客戶和我們自己的流量與資料,而且在不斷改善和擴展這些服務,以因應變化多端的網際網路威脅情勢。藉由證明該承諾為多方面的風險投資,網路安全團隊會將重點放在人員、驗證及透明度上,以便確保人們在接觸我們產品和公司時更放心。

人員

網路安全團隊的知識面非常廣,具有極大的優勢。如果是網路安全公司的網路安全團隊成員,表示其技術高深、知識豐富願意自行測試任何產品,並經常透過產業群組與當地和全球社群分享我們的知識,並在全球會議上作簡報。透過會面和會議聯絡我們的客戶和同行,可以讓我們一起解決問題、了解未來的產業趨勢並分享意見反應,以便改善客戶體驗。除了為 Cloudflare 執行正式記錄的基於風險的網路安全計畫之外,團隊成員還會審核並建議變更、識別並處理漏洞、控制系統和資料的授權和存取權限、加密傳輸和靜止資料,以及偵測並回應威脅和事件,藉此在產品和基礎結構團隊中持續推動改善工作。

驗證

發佈網路安全聲明固然不錯,但客戶該如何確定我們的所作所為符合承諾呢?為了實現這一點,我們每年會進行多次稽核,證明網路安全實務符合產業標準。迄今為止,Cloudflare 已定期評估並維護在 PCI DSS(作為賣家和服務提供者)、SOC 2 Type II、ISO 27001 及 ISO 27701 標準方面的合規性。無論我們客戶身處世界哪一個角落,他們可能都必須至少依賴其中一項標準,才能保護其客戶的資訊。而我們有責任為該信任關係提供支援。

隨著 Cloudflare 的客戶群持續向監管機制更嚴格、要求更複雜的產業發展,我們決定在今年依據另外三項標準來評估全球網路:

  • 美國聯邦風險與授權管理計畫 (FedRAMP) 負責依據美國機構資料在雲端運算環境中的保護標準,評估我們的系統和實務。Cloudflare 在 FedRAMP 市場被列為「進行中」,表示是處於中度影響層級的機構授權。我們正處於根據稽核員的意見完成網路安全評估報告的最終階段,並爭取在 2022 年獲得營運授權。
  • ISO 27018 會檢查我們作為雲端提供者的實務做法,以便保護個人識別資訊 (PII)。此次 ISO 27001 標準的延伸內容可確保我們的資訊安全管理系統 (ISMS) 得以管理與 PII 處理程序相關的風險。我們已完成第三方評估,目前正在等待下個月的認證。
  • 德國聯邦資訊安全辦公室 (BSI) 引入了雲端運算合規性標準目錄 (C5),這是針對雲端運算之定義基線安全層級的驗證。Cloudflare 目前正由第三方稽核員針對目錄加以評估。在這裡了解我們的詳細過程。

透明度

我們對客戶和業務的網路安全承諾必須保持超級透明。控制安全事件時,我們的回應方案不但要涉及法律、合規及溝通團隊以確定通知策略,還要開始詳細列出回應方式,即使我們仍處於矯正程序中。

如果您的關鍵廠商遇到網路安全事件後保持沉默,只是提供一句法律要求的簡單回應,並未能說明網路安全漏洞或事件對其的影響,我們能親身體會到這多麼令人沮喪。在 Cloudflare,保持透明已印入我們的 DNA。您可以參閱我們撰寫的部落格(Verkada Incident Log4j),看看我們在必須修正問題時,能多快速地向客戶展示我們的回應方式及行動措施。

我們最常從客戶那裡收到的事件相關問題之一,就是第三方是否受到影響。供應鏈漏洞(像是 Solarwinds 和 Log4j)促使我們同時為所有關鍵廠商提升效率,例如自動查詢。在網路安全事件回應流程的遏制階段中,我們的第三方風險團隊能夠快速識別受影響的廠商,並優先考慮我們的生產和網路安全廠商。我們的工具可讓我們立即向第三方發起查詢,且已將團隊整合至事件回應流程中,以便確保溝通效率。我們的網路安全合規性論壇可以共享從廠商那裡收到的任何資訊,以便確保其他同樣向廠商諮詢的公司不必執行重複工作。

價值

這些定期稽核和評估並不是簡單的網站徽章。我們的網路安全團隊提供證據不僅是為了通過稽核而已;該流程包括識別風險、制定因應這些風險的控制措施和流程、持續執行這些流程、評估這些流程的效用(以內部和外部稽核和測試的形式),以及根據這些評估對 ISMS 提出改善方案。在這些流程中,我們之所以與眾不同的關鍵在於:

  • 許多公司不會聯絡廠商,也不會將此流程併入其事件回應程序中。就 log4j 來說,我們的廠商網路安全團隊會與回應團隊隨時保持待命狀態,並在識別出事件後立即提供與廠商回應相關的定期更新。
  • 許多公司並不會像我們一樣,那麼主動地與客戶溝通。即便法律沒有要求,我們還是會執行溝通程序,因為無論是否有要求,我們認為這都是正確的做法。
  • 此領域的各項工具通常都缺乏靈活度,無法向廠商迅速傳送自訂問卷。我們制定了自動化程序,可立即批次發佈這些問題,並針對現有漏洞定製問題。

最後一個步驟就是向我們客戶傳達安全狀態的最終結果。我們的客戶可透過 Cloudflare 儀錶板下載,或是向其客戶團隊申請,以便取得網路安全認證和評估結果。有關我們認證和報告的最新資訊,請造訪我們的信任中心

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Security Week (TW)Security (TW)Compliance (TW)繁體中文

Follow on X

Cloudflare|@cloudflare

Related posts

March 08, 2024 2:05 PM

Log Explorer:監控安全事件,無需第三方儲存

藉助 Security Analytics + Log Explorer 結合的強大功能,安全團隊可以在 Cloudflare 內原生分析、調查和監控安全攻擊,而無需將記錄轉寄至第三方 SIEM,從而為客戶降低了解決問題的時間以及總體擁有成本...