Cloud Computing : Données personnelles, confidentialité et le cloud
Vous devez résoudre un certain nombre de problèmes anciens et nouveaux lorsque vous déplacez et stockez des données, ou que vous accédez à celles-ci, par l'intermédiaire des services de cloud computing.
Vic (J.R.) Winkler
Adapté de « Securing the Cloud » (Syngress, une empreinte de Elsevier)
Ces jours-ci, vous êtes souvent traitement, stockage ou transmission de données qui a soumis à la réglementation et conformité aux exigences. Lorsque ces données relèvent de réglementation ou de restrictions de conformité, votre choix de cloud déploiement (qu'ils soient privés, hybride ou public) repose sur la compréhension que le fournisseur est entièrement conforme. Dans le cas contraire, il y a le risque de violer la vie privée, réglementaire ou autres obligations légales. Les implications pour le maintien de la sécurité de l'information sont importantes lorsqu'il s'agit de la vie privée.
Il y a eu assez violations de la vie privée en dehors du domaine du cloud computing pour qu'il y ait des inquiétudes de n'importe quel système — nuage ou traditionnels — lors du stockage, de traitement ou de transmettre des informations sensibles. Le nuage a ses propres exemples aussi bien. En 2010, plusieurs nuages privacy informations expositions ont eu lieu avec un certain nombre de services de cloud computing, dont Facebook, Twitter et Google.
La vie privée au sein du modèle de cloud ne sont pas nouvelle. En tant que locataire des obligations juridiques de la vie privée, votre gestion de la protection des renseignements personnels n'est pas différente si vous utilisez le nuage. Tout comme vous ne serait pas stocker ces informations sur un serveur sans contrôles adéquats, vous ne serait pas sélectionner aucun nuage fournisseur sans vérifier il remplit les mêmes points de repère pour comment il protège les données au repos, dans la transmission ou lors du traitement.
Vos politiques peuvent exclure n'importe quel fournisseur externe, gestion de l'information sensible pour vous, y compris les fournisseurs de cloud. Il peut y avoir une perception que l'ordinateur sur votre bureau est plus sûr qu'un cloud public, mais il est sans doute pas (sauf si vous prenez des précautions techniques et procédurales inhabituelles). Sécurité et gouvernance sont deux questions séparées et dans le cadre de due diligence, vous aurez besoin pour bien comprendre la gouvernance de la vie privée de votre fournisseur d'accès, ainsi que ses pratiques de sécurité et directives.
Comme pour les renseignements personnels assujettis aux lois de la vie privée, différentes catégories d'informations commerciales et la sécurité nationale sont également soumis à réglementation et droit. Processus et informations de sécurité nationale bénéficient de directives, de règlements et de lois forts et très développés. Ceux-ci dérivent de droit public et d'écoulement vers le bas par chaque organisme individuel ou entité officiellement responsable.
Compte tenu de la taille du gouvernement et le nombre de niveaux et de juridictions, il semble que le gouvernement lui-même pourrait exploiter une série de nuages de la communauté pour son usage exclusif, obtenant ainsi des avantages et éviter les problèmes liés à la cohabitation dans un cloud public. En revanche, si le gouvernement devait utiliser un cloud public, ce service devra répondre pleinement les intérêts du locataire et tous les règlements et lois.
Il est possible qu'un locataire pourrait mettre en place des contrôles de sécurité supplémentaires qui répondent aux exigences réglementaires ou juridiques, même lorsque l'Infrastructure public sous-jacent comme une plateforme as a Service (PaaS) ou Service (IaaS) ne satisfait pas pleinement ces mêmes exigences. Cependant, il faut comprendre que la gamme de contrôles supplémentaires qui peuvent être ajoutés par un locataire sont limitée et ne peuvent pas surmonter les nombreuses lacunes dans certains services de cloud public.
Préoccupations de propriété et locale de données
En plus de la vie privée et de confidentialité, propriété des actifs informationnels évoque des questions supplémentaires. Il est possible d'érosion de la propriété des biens informations lors du déplacement des ressources vers n'importe quel système externe. Il y a une différence fondamentale entre la propriété des données et ayant une responsabilité comme un gardien de données.
Bien que la propriété des données juridiques reste avec leur propriétaire originaire, une zone potentielle d'inquiétude avec un cloud public est que le fournisseur de cloud peut devenir responsable de ces deux rôles. Il n'y a pas de meilleur exemple de ce que lorsqu'une entité d'application de la Loi sert un mandat à un fournisseur de cloud pour l'accès aux ressources d'information du locataire.
Où résident les données et quelles compétences il peut traverser sont les préoccupations connexes. Stockage et transfert de données en ligne présentent l'occasion d'examiner subrepticement secrets de quelqu'un d'autre. En réponse à cela, l'Union européenne (UE) Data Protection Directive stipulée dans quels pays UE données privées et personnelles peut ou ne peuvent pas traverser ou résider. Cela a de profondes implications pour tous les États membres.
Du point de vue du cloud computing, l'impact de cette forme probable de la directive sera comment les fournisseurs de cloud public implémentent leurs services. Il s'agit d'un modèle tout à fait raisonnable pour limiter l'empreinte juridictionnel des données afin de minimiser le mal potentiel auquel sont soumises à la traversée, de traitement ou de stockage que les données. Tous les locataires de service cloud et les utilisateurs devraient s'inquiéter de la possibilité qu'un cloud public peut pousser des données ou des applications hors de la juridiction dans laquelle le locataire réside ou a des obligations légales.
Audit et expertise judiciaire
L'audit est un terme surchargé en sécurité, mais ici je veux dire évaluer la politique de sécurité, procédures, pratiques et contrôles techniques pour l'exactitude et l'exhaustivité. Cela est nécessaire pour déterminer si les contrôles et procédures sont suffisantes pour répondre à tous les aspects opérationnels de la sécurité, y compris la conformité, de protection, de détection et d'investigation.
Pour les services cloud, ces audits ont une grande valeur pour les locataires et les clients qu'ils véhiculent un sentiment de confiance sur la diligence raisonnable du fournisseur nuage en assurant la sécurité. Comme le propriétaire des actifs informationnels, un locataire doit effectuer courant due diligence sur le fournisseur. Car due diligence par clients généralement ne pas mettre à l'échelle pour le modèle d'affaires du fournisseur, le fournisseur doit être transparent sur sa politique de sécurité, de gouvernance et de procédures. En conséquence, les locataires sont dans une meilleure position pour prendre des décisions éclairées.
Il y a plusieurs questions autour des responsabilités et les limites qui affectent les locataires et les fournisseurs en ce qui concerne la collecte de preuve légalement admissible à charge. Il est assez dur avec une chaîne de preuves où la responsabilité de la collecte de données est partagée entre le fournisseur et le locataire de comprendre qui a fait quoi et comment.
Une partie peut être le propriétaire légitime des données, tandis que l'autre est le gardien. Compte tenu de la nature de la façon dont certains services sont accessibles, il peut être difficile à représenter avec autorité ou même comprendre les traces des actions conduisant à et suite à un compromis ou une pénétration. Dans un premier temps, avoir un locataire à obtenir accès aux dossiers d'un fournisseur peut compromettre la vie privée des autres locataires.
Deuxièmement, dans les deux ensembles de journaux des événements peuvent suivre les pas si les horloges système ne sont pas identiques. Il peut être difficile de prouver que données de médecine légale du locataire recueillies et stockées dans un cloud public n'a pas été modifiées. Cette situation représente un ensemble d'excellentes occasions pour les fournisseurs de cloud de se distinguer en offrant des services de pointe.
Menaces émergentes
Certains des programmes plus anciens on trouve parfois d'avoir des vulnérabilités qui sont restées inconnues pendant des années. Vous attendez toujours que ce que vous pensiez qu'était sûr se trouve avoir été vulnérables avant vous étiez même pas au courant de cette vulnérabilité. En outre, certaines des technologies — et certainement beaucoup des composants logiciels — ce nuage informatique se compose de restent tout à fait nouvelle et n'ai pas encore engendrer un degré élevé de confiance des professionnels de la sécurité expérimentés.
Certains composants sont construits sur ce qui ne peut être décrit sous forme de couches sur couches de logiciel et des échafaudages de protocole. La somme de ces parties est sûr ? La réponse est probablement pas. Complexité et l'interaction entre les composants sont deux royaumes d'où jaillissent des vulnérabilités.
Alors est-ce sécuritaire ?
Le nuage est encore nouveau, donc la poussée d'un contrôle efficace sur la protection des renseignements dans le nuage est aussi naissante. Actuellement, il y a moins de solutions de sécurité pour le cloud qu'il y a de sécurisation des dispositifs physiques dans une infrastructure traditionnelle. Alors que le coût de l'instanciation des appliances de sécurité virtuelle est plus faible dans le nuage, la technologie est plus récente.
Une grande partie de la présente action en adoptant le cloud public est dans le domaine des adopteurs précoces. Il est difficile de déterminer si des données ou le traitement est fait en violation des exigences légales ou de conformité. Le gouvernement américain a lancé un effort appelé le risque fédéral et programme de gestion d'autorisation (FedRAMP), qui est orienté vers permettant à l'ensemble du processus d'assurer des instances de nuage ne conviennent pas pour les applications Office individuels.
Deux organisations qui poursuivent activement l'amélioration des contrôles de sécurité et protection de données dans le nuage sont la Cloud Security Alliance et le Cloud Computing Interoperability Forum. Un autre groupe, le Forum de Jéricho, a abordé le problème sous un angle différent, à savoir que dépérimétrisation a déjà eu lieu en raison d'une variété de services qui pénètrent dans le périmètre des infrastructures en grande partie en creusant un tunnel à travers les pare-feu pour donner accès aux services essentiels.
Un problème avec la plupart des certifications, c'est qu'ils êtes portés davantage sur les installations et processus qu'ils sont sur le nouveau monde de-perimeterized, serviable. Un deuxième problème est que beaucoup de systèmes utilisés ont virtualisés serveurs exécutant sur eux. Si ces serveurs ont des exigences contradictoires en matière de sécurité, il y a déjà un problème dans la pratique.
Plupart des problèmes de sécurité avec le cloud computing ne sont ni unique au modèle cloud computing ni très difficile à aborder. Le modèle nuage lui-même représente une occasion en or pour obtenir une meilleure sécurité. Cependant, il faut reconnaître qu'il y a des différences. Vous ne pouvez pas le cavalier sur la sécurité avec le modèle de nuage.
**Vic (J.R.) Winkler**est un senior associate chez Booz Allen Hamilton Inc., fournissant des conseils techniques principalement US clients du gouvernement. Il est une sécurité de l'information publiée et chercheur en sécurité cyber, ainsi qu'un expert en détection d'intrusion/anomalie.
© 2011 Elsevier Inc. Tous droits réservés. Imprimé avec la permission de Syngress, une empreinte de Elsevier. Copyright 2011. “Sécuriser le nuage" de Vic (J.R.) Winkler. Pour plus d'informations sur ce titre et autres ouvrages similaires, s'il vous plaît visitez elsevierdirect.com.