雲計算:隱私權、機密性和雲端
當透過雲端服務移動、儲存和存取資料時,有幾項新與舊的考量需要解決。
Vic (J.R.) Winkler
適應了從"保護雲"(Syngress,Elsevier 的印記)
這些天,你就頻繁地處理、 存儲或傳輸資料有前提下,對監管和法規遵從性要求。 當該資料屬於法規或法規遵從性的限制,您所選擇的雲部署 (是否私人,混合動力車或公共) 取決於提供程式是完全符合要求的理解。 否則,有違反私隱,規管或其它法律要求的風險。 維護資訊安全的影響是重大的隱私的時候。
已在領土外的雲計算將對任何系統的關注有足夠侵犯個人隱私 — 基於雲計算的或傳統 — 存儲時,處理或傳輸的敏感資訊。 雲有它自己的例子,以及。 2010 年,幾個雲暴露發生與一些基於雲計算的服務,包括 Facebook、 Twitter 和谷歌的隱私資訊。
雲模型內的隱私問題並不是新的。 作為法律隱私的義務與租客,您的私隱問題的處理是沒有什麼不同,如果你使用雲計算的。 就像你不會在沒有足夠的控制伺服器上存儲這類資訊,您就不會選擇任何雲供應商沒有核實它滿足它是如何保護資料在傳輸中或處理的同時休息的同一基準。
您的策略可能會排除任何外部供應商管理敏感資訊,包括雲供應商。 雖然可能有一種看法在你的桌上電腦是比公共的雲安全,可能是不 (除非你把非同尋常的技術和程式性預防措施)。 安全和治理有兩個不同的問題,以及適當的一部分盡職調查,你需要充分瞭解您的供應商的隱私治理,以及其安全做法和準則。
與隱私法律的個人資訊,如各類企業和國家安全的資訊也是受管制和法律。 國家安全資訊和流程受益于強和高度發達的法律、 法規和指導。 這些來自公共法律和流下來通過每個個別機構或正式負責的實體。
鑒於政府和各級和司法管轄區的數目的大小,它似乎政府本身可以操作一系列的社區雲其獨佔使用,從而獲得利益,避免在公共雲同居的問題。 另一方面,如果政府要使用公共的雲,該服務必須充分滿足的租客和所有適用的條例和法律利益。
它是可能租客可以執行額外的安全控制項,滿足法規或法律要求,即使基礎公共基礎設施作為服務 (IaaS) 或平臺即服務 (PaaS) 不充分滿足那些相同的要求。 然而,必須理解的是可由租客添加的其他控制項的範圍為限,不能克服某些公共雲服務中的許多空白。
資料擁有權和地區設定問題
除了隱私和保密問題,資訊資產的擁有權帶來了更多的問題。 有潛力的資訊資產擁有權的侵蝕時將資源移動到任何外部系統。 有資料擁有權和有責任作為資料保管者的根本區別。
雖然法律資料擁有權仍然與原始資料擁有者,與公共雲關切的一個潛在領域是雲供應商可能會成為負責這兩個角色。 沒有更好的例子是當執法實體服務搜查令到雲的提供程式對租客的資訊資產的訪問。
資料駐留的位置,它可能會遍歷什麼司法管轄區有關的問題。 存儲和線上移動資料為機會偷偷檢查別人的秘密。 對此的回應,在歐洲聯盟 (歐盟) 資料保護指令規定歐盟國家私人和個人資料可能會或可能不遍歷或駐留。 這有深遠的影響,對所有歐盟成員國。
從雲計算,此指令將可能形狀的影響如何的角度看公共雲供應商實施他們的服務。 這是一個完全合理限制的司法管轄權的足跡要儘量減少潛在淘氣的資料都是附屬的在遍歷、 處理或存儲的資料模型。 所有的雲服務租戶和使用者應由公共雲可能推資料或應用程式中,租客駐留或有法律義務的管轄範圍之外的潛力有關。
審核和取證
審核是一個重載的術語在安全中,但在這裡我的意思是評價安全政策、 程式、 做法和正確性和完整性的技術控制。 這是必要的以評估控制措施和程式是否足以滿足所有業務安全的方面,包括法規遵從性、 保護、 檢測和取證。
對於雲服務,這種審計十分有價值為租戶和客戶作為他們轉達有關雲供應商的盡職調查在確保安全的信賴感。 作為資訊資產的擁有者,租客必須執行到期通知提供程式的盡職調查。 因為適當的客戶盡職調查一般不能縮放的供應商的業務模型,提供程式必須是透明的其安全政策、 治理和程式。 因此,住戶在更好地作出知情的決定。
有幾個問題圍繞責任和影響的租戶和關於收集起訴的法律上可接受證據提供者的限制。 已經瞭解誰做了什麼怎麼夠難與地方供應商與租客之間共同負責收集資料的證據鏈。
一方當事人可能是合法擁有者的資料,而另一種是保管人。 鑒於一些服務的訪問方式的性質,它可能很難權威性代表或甚至理解領導和以後的妥協或滲透行動的蹤跡。 開頭的有租客獲得訪問供應商的記錄可能會危及其他住戶的私隱。
第二,兩套不同的日誌事件不可能跟蹤如果系統時鐘不完全相同。 它可能很難證明租客取證資料收集和存儲在一個公共的雲沒有被更改。 這種情況表示極好的機會,為雲供應商來區分自己通過提供先進的服務的集。
新出現的威脅
有時找到一些最古老的程式要有年來一直未被發現的漏洞。 你應該總是指望可能會發現你以為很安全之前你都甚至意識到這個漏洞, 已經脆弱。 此外,一些技術 — 當然有很多的軟體元件和 — 雲計算由組成的仍然是相當新,尚未產生高度的信任從經驗豐富的安全專業人員。
某些元件的基礎之上可以僅被描述作為軟體和協定腳手架層層。 這些部分的總和是安全的嗎? 答案可能是沒有。 複雜性和元件之間的交互是從該漏洞蹦出來的兩種境界。
所以它是安全的嗎?
雲計算是資訊的尚新,所以推動有效的控制,在雲計算中的保護也是資訊的新生。 目前有安全解決方案更少雲的比有爭取在傳統的基礎架構的物理設備。 雖然在雲計算中,具現化虛擬安全裝置的成本較低,技術是較新的。
目前採取行動,通過公共雲的大部分是在早期採用者的境界。 它是很難確定是否任何資料或處理都是在違反法律要求或法規遵從性。 美國政府已推出稱為聯邦風險努力和授權管理程式 (FedRAMP) 是面向于啟用保證雲實例的整個過程是適當的為個別機構的應用程式。
雲安全聯盟和雲計算的互通性論壇正在積極改善中雲計算的資料保護和安全控制項的兩個組織。 另一個組,傑裡科論壇上,已從不同的角度來處理這個問題,即該多層保護原則已經發生由於各種滲透周邊的基礎設施很大程度上由隧道通過防火牆,以提供對關鍵服務的訪問的服務。
大多數認證的一個問題是他們關注更多關於基金和進程比他們在新的 de-perimeterized、 面向服務世界上。 第二個問題是很多系統中使用了虛擬化伺服器在其上運行。 如果這些伺服器有相互衝突的安全要求,已經有一個問題在實踐中。
大多數與雲計算獨有的雲計算模型,也不是很難處理的安全問題。 雲模型本身表示一個黃金機會,實現更好的安全性。 但是,必須承認的是存在著分歧。 你不能關於安全與雲模型的騎士。
.jpg)
**Vic (J.R.) Winkler**是博思艾倫漢密爾頓 Inc.,向主要美國提供技術諮詢的高級助理 政府客戶。 他是出版的資訊安全和網路安全研究員,以及入侵/異常檢測方面的專家。
© 2011 Elsevier 公司。 保留所有的權利。列印的許可權從 Syngress,Elsevier 的烙印。版權所有 2011。“確保雲" 由維克 (做飯的廚具)Winkler。這個標題和其他類似的書籍的詳細資訊,請訪問 elsevierdirect.com。