Cloudflare 自成立以來就持續投入心力來保護全球各地的客戶。我們的服務能夠保護客戶和我們自己的流量與資料,而且在不斷改善和擴展這些服務,以因應變化多端的網際網路威脅情勢。藉由證明該承諾為多方面的風險投資,網路安全團隊會將重點放在人員、驗證及透明度上,以便確保人們在接觸我們產品和公司時更放心。

人員

網路安全團隊的知識面非常廣,具有極大的優勢。如果是網路安全公司的網路安全團隊成員,表示其技術高深、知識豐富願意自行測試任何產品,並經常透過產業群組與當地和全球社群分享我們的知識,並在全球會議上作簡報。透過會面和會議聯絡我們的客戶和同行,可以讓我們一起解決問題、了解未來的產業趨勢並分享意見反應,以便改善客戶體驗。除了為 Cloudflare 執行正式記錄的基於風險的網路安全計畫之外,團隊成員還會審核並建議變更、識別並處理漏洞、控制系統和資料的授權和存取權限、加密傳輸和靜止資料,以及偵測並回應威脅和事件,藉此在產品和基礎結構團隊中持續推動改善工作。

驗證

發佈網路安全聲明固然不錯,但客戶該如何確定我們的所作所為符合承諾呢?為了實現這一點,我們每年會進行多次稽核,證明網路安全實務符合產業標準。迄今為止,Cloudflare 已定期評估並維護在 PCI DSS(作為賣家和服務提供者)、SOC 2 Type II、ISO 27001 及 ISO 27701 標準方面的合規性。無論我們客戶身處世界哪一個角落,他們可能都必須至少依賴其中一項標準,才能保護其客戶的資訊。而我們有責任為該信任關係提供支援。

隨著 Cloudflare 的客戶群持續向監管機制更嚴格、要求更複雜的產業發展,我們決定在今年依據另外三項標準來評估全球網路:

  • 美國聯邦風險與授權管理計畫 (FedRAMP) 負責依據美國機構資料在雲端運算環境中的保護標準,評估我們的系統和實務。Cloudflare 在 FedRAMP 市場被列為「進行中」,表示是處於中度影響層級的機構授權。我們正處於根據稽核員的意見完成網路安全評估報告的最終階段,並爭取在 2022 年獲得營運授權。
  • ISO 27018 會檢查我們作為雲端提供者的實務做法,以便保護個人識別資訊 (PII)。此次 ISO 27001 標準的延伸內容可確保我們的資訊安全管理系統 (ISMS) 得以管理與 PII 處理程序相關的風險。我們已完成第三方評估,目前正在等待下個月的認證。
  • 德國聯邦資訊安全辦公室 (BSI) 引入了雲端運算合規性標準目錄 (C5),這是針對雲端運算之定義基線安全層級的驗證。Cloudflare 目前正由第三方稽核員針對目錄加以評估。在這裡了解我們的詳細過程。

透明度

我們對客戶和業務的網路安全承諾必須保持超級透明。控制安全事件時,我們的回應方案不但要涉及法律、合規及溝通團隊以確定通知策略,還要開始詳細列出回應方式,即使我們仍處於矯正程序中。

如果您的關鍵廠商遇到網路安全事件後保持沉默,只是提供一句法律要求的簡單回應,並未能說明網路安全漏洞或事件對其的影響,我們能親身體會到這多麼令人沮喪。在 Cloudflare,保持透明已印入我們的 DNA。您可以參閱我們撰寫的部落格(Verkada Incident Log4j),看看我們在必須修正問題時,能多快速地向客戶展示我們的回應方式及行動措施。

我們最常從客戶那裡收到的事件相關問題之一,就是第三方是否受到影響。供應鏈漏洞(像是 Solarwinds 和 Log4j)促使我們同時為所有關鍵廠商提升效率,例如自動查詢。在網路安全事件回應流程的遏制階段中,我們的第三方風險團隊能夠快速識別受影響的廠商,並優先考慮我們的生產和網路安全廠商。我們的工具可讓我們立即向第三方發起查詢,且已將團隊整合至事件回應流程中,以便確保溝通效率。我們的網路安全合規性論壇可以共享從廠商那裡收到的任何資訊,以便確保其他同樣向廠商諮詢的公司不必執行重複工作。

價值

這些定期稽核和評估並不是簡單的網站徽章。我們的網路安全團隊提供證據不僅是為了通過稽核而已;該流程包括識別風險、制定因應這些風險的控制措施和流程、持續執行這些流程、評估這些流程的效用(以內部和外部稽核和測試的形式),以及根據這些評估對 ISMS 提出改善方案。在這些流程中,我們之所以與眾不同的關鍵在於:

  • 許多公司不會聯絡廠商,也不會將此流程併入其事件回應程序中。就 log4j 來說,我們的廠商網路安全團隊會與回應團隊隨時保持待命狀態,並在識別出事件後立即提供與廠商回應相關的定期更新。
  • 許多公司並不會像我們一樣,那麼主動地與客戶溝通。即便法律沒有要求,我們還是會執行溝通程序,因為無論是否有要求,我們認為這都是正確的做法。
  • 此領域的各項工具通常都缺乏靈活度,無法向廠商迅速傳送自訂問卷。我們制定了自動化程序,可立即批次發佈這些問題,並針對現有漏洞定製問題。

最後一個步驟就是向我們客戶傳達安全狀態的最終結果。我們的客戶可透過 Cloudflare 儀錶板下載,或是向其客戶團隊申請,以便取得網路安全認證和評估結果。有關我們認證和報告的最新資訊,請造訪我們的信任中心