雲計算:雲端內的資料隱私
移往雲端時,有幾個您可以 (也應該) 採取的步驟以確保公司資料的安全性。
Vic (J.R.) Winkler
"確保雲"(Syngress,印記 Elsevier) 改編
資料私隱的問題是心靈的每個人的最前列。 電視廣告宣傳安全產品和程式經常介紹最新的資料洩露的消息。 公眾看法放在一邊,任何組織都有法律義務,以確保其員工和客戶的隱私得到保護。
法律禁止某些資料被用於次要原因之外,其最初收集的目的。 您不能對健康的你的員工,例如,收集資料,然後使用它來充電吸煙者具有更高的保險費。 此外,您不能與協力廠商共用某些資料。 在雲計算的世界中,這將成為困難得多,因為您現在有協力廠商經營和管理您的基礎架構。 由其本身的性質,該提供程式會對您的資料的訪問。
如果您正在收集和存儲在雲計算的資料,它有一個或多個管理法規的法律要求 — — 例如,健康保險便攜性和責任法案 (HIPAA) 或格拉姆-浸出-金融服務現代化法案 》 (GLBA) — — 您必須確保雲供應商以適當的方式保護資料的保密性。 在您的組織內收集的資料相同的方式,在雲計算中收集到的資料必須僅使用為此目的,它最初收集三種形式。 如果個人指定資料被用於一個目的,必須堅持這一保證。
隱私權聲明往往指定個人可以訪問他們的資料,並將刪除或修改。 如果一家雲提供的環境中的資料,則隱的規定仍然適用,企業必須確保這允許在類似的時間內,如果將資料存儲在網站上。 如果只可以由雲供應商的企業內部的人員來完成資料訪問,您必須信納他們可以根據需要完成這項任務。
如果您已經輸入到點擊合同,你就會到什麼雲供應商已載這些條款的約束。 即使有一份量身定做的合同,雲供應商可能會嘗試限制資料管制,以確保其用戶端具有統一的方法。 這減少了雲計算供應商的開銷,需要有專門的工作人員的手上。 如果您的資料的完全控制權是必需品,您需要確保這提前和不屈服于雲計算供應商的條款。
有很多雲供應商,專注于截然不同的市場和定制他們進入這些市場的服務。 這是可能會變得越來越流行,即將到來的年。 利基雲供應商也有可能會出現。 例如,提供衛生保健服務的雲供應商將受有關規例,如 hipaa)。 我們可以指望他們收取的特殊處理和所需的控制項。
資料的位置
任何商業網站或個人在社交網站上的帖子記錄實際上可能的一個或多個伺服器上的資料位於任意位置。 是否你在 Facebook 或更新您的業務連結在 LinkedIn 上發表的個人資訊,將某個存儲此資料。 隨著企業走向使用和擁抱雲供應商,此資料的位置將成為更重要的是由於資料隱私、 法律或法規的要求。
全球公司需要確保按照法律、 法規在地方為員工、 外國分支機搆或協力廠商使用任何部署到雲計算的服務。 美國 因此即使它是您自己正在使用這項服務的雇員,你需要知道在它們的位置與他們有關的法律,法律將會明顯不同于其他地區。
在其它地區的子公司可能略有不同的法律,您的帳戶,有,即使他們是在同一個常規區域中。 一些外國分支機搆可能有一個區域,但不是與另一個共用的資料沒有問題。 雲計算供應商添加到組合中添加另一層複雜性。
必須知道的資料的主位置和任何備份的位置,確保這些法律和法規得到遵守。 通常情況下,備份位置需要確定。 (Amazon.com inc.),例如,已在美國和愛爾蘭,可能會造成問題,如果他們被用作備份中心對於某些類型的資料的大型資料中心。
歐洲聯盟 (歐盟) 成員國以及其他地區的資料保護法律極其複雜,並有一些明確的要求。 這些地區以外的個人資料傳輸的需要非常具體的方式處理。 例如,歐盟需要收集的資料或資料控制器,必須告知個人,資料將被發送和處理在歐盟外的地區。 資料控制器和結束處理器還必須具有資料保護機構事先批准的合同。 這會根據不同的處理資料的區域有不同級別的難度。 歐盟與美國有互惠協定和美國 收件者只有通過與美國註冊評估其資料程式 商務部。
您需要確保任何雲供應商使用你管轄範圍之外,也有足夠的保安措施。 如果正在轉移資料的司法管轄區之間,這包括其主要和備份的位置,以及任何中間的位置。
通過將您的資料放到一個協力廠商伺服器上是否一家雲提供或以其它方式,你向協力廠商委託您的資料。 您需要確保有足夠的安全,您的需要並滿足所有法規和法律要求。 提供程式控制和程式也必須遵守伺服器所在地區的當地法律。 如果您輸入與美國一家公司達成協議,但它們駐留在歐盟中的伺服器上的資料,很可能你必須遵守歐盟的法律,如果您想要將資料傳輸到並從系統中取出。
這些法律可能會更為繁重,如果伺服器託管在某些地區,如中國,法律容許地方政府無限制的訪問,而不考慮其敏感性的資料。 你可能甚至有限 (或禁止) 從沒有確保地方當局可以解密它根據需要對資料進行加密。
雲供應商市場正在擴大,但仍然只有數量有限的球員,可以提供大規模的應用和資料託管。 這可能導致公司分包給另一家公司,有可能在另一個區域主辦的全部或部分。 之前訂立的任何協定,意識到任何分包合同和執行適當的安全檢查以及對這些。
一些雲供應商將不可避免地走向破產或停止經營。 訪問您的資料立即成為一個問題。 根據伺服器駐留的位置,這可能需要你去通過另一個區域管轄,以獲取資料,並,資料可能會完全不同的訪問規則。
二次使用的資料
根據雲供應商與誰你合同的類型,你得考慮如果您的資料去可供開採的供應商或其他人。 使用您的資料 unbeknownst 可能會出現對您或根據該提供程式的一部分配置錯誤。 基於您的資料的敏感性,您可能希望確保您的合同禁止或至少限制雲供應商必須使用此資料的訪問。
當您進入一個點擊協定時,這可以尤其困難。 我們都知道,我們很少有人會在所有閱讀小字。 當它出現時,我們只需按一下同意框。 2009 年,當 Facebook 改變其周圍資料安全的條款,很多人抱怨。 然而,大多數使用者進行使用這項服務,因為他們發現它很有用。 很有可能您的使用者將相同的方式,也可能會給你安全問題做出反應。
您存儲在雲計算中的資料可能是保密的或持有個人資料,您必須確保安全。 雲供應商很可能要對此資料來維護和管理您的伺服器的完全存取權限。 您需要確保這種訪問不以任何方式被濫用。 雖然合同法律可能會保護你,你還需要確保你有信心在提供程式中的安全將會檢測到您的資料的任何未經授權的訪問。
災害復原
你不能誇大業務連續性和災害復原的重要性。 在災害復原,您需要考慮一些可能方案:一個提供程式可能會倒閉,或其資料中心可以成為不可操作。 取回您的資料與第一種方案的主要問題並將其重新置放到另一供應商雲計算應用程式。 這些應想出到雲在部署之前。 通過確保定期資料的備份,您應該還進一步保護你的利益。
當您移動到雲計算並重新審視這項計畫定期設置出某種形式的計畫。 市場因素和其他情況變化太快。 有大量的實例資料中心遭受了災難性的故障,導致丟失或中斷服務的很多網站和企業,包括:
- 火災中在威斯康辛州綠灣,在 2009 年導致停機的一些資料中心主辦達 10 天的 Web 網站。
- 停電,費雪廣場 (西雅圖) 在 2009 年 7 月受影響多個網站,包括必應旅行。
- 2008 年植物在休士頓的資料中心中爆炸一樣了幾天了近 9,000 客戶離線。
- 機架美國公司。 2009 年,只是根據一個小時歷時在其達拉斯中心已停機。
- 365 主資料中心在 Craigslist,Yelp 和其他受影響的 2007 年已經停機。
- 谷歌遭受了一個資料中心,在 2009 年 2 月期間軋製由於軟體升級錯誤停電造成丟失的郵件服務對於許多客戶。
根據您的防備的水準,這些事件的任何可能僅僅是不便或一個迫在眉睫的威脅,對您的業務。 較小的公司更有可能擊中難,因為它們可能會有較少的專門知識和更少的資源。 停電可能嚴重擾亂他們的業務。
您可以看到從該清單中的事件,並不只是物理問題電源或冷卻的失敗,但也可以採取降低資料中心的軟體錯誤。 駭客的拒絕服務攻擊針對特定 Web 網站也可能影響到網站根據頻寬問題,如果在受攻擊的網站託管在同一個資料中心。
安全違規事件
您的應用程式或資料可能會破壞或違反而雲計算。 在這種情況下,您將通過雲提供者的系統或一些其他方式通知。 我希望你會永遠不會發現由於客戶身份資訊竊取的抱怨。
您需要清楚地瞭解您的雲計算供應商披露政策,瞭解如何快速他們會透露給你違反。 大多數的美國 國家的安全違反披露法律不需要資料擁有者,如果他們的個人資料已遭到破壞,以任何方式通知個人。 這些法律要求,您可以確保您迅速得知任何違反,最好是在原先的合同中定義。
或者,如果您發現您的資料已被違反,您可能需要告知雲供應商。 這可能會影響它的其他客戶。 您將有可能會共用環境與一個或多個企業。 根據破壞的程度上,這可能影響一些人。 在定義的措施中合同和雙方商定的地方後的事件回應計畫將確保雙方可以減輕違反的後果。
Vic (J.R.) Winkler 博思艾倫漢密爾頓 Inc.,主要是在美國提供技術諮詢的是高級助理 政府客戶。 他是一個發佈的資訊安全和網路安全研究員、 以及入侵/異常檢測方面的專家。
© 2011 Elsevier 公司 保留的擁有權利。列印許可權從 Syngress,Elsevier 的烙印。2011 年版權。"確保雲" Vic (J.R.) Winkler。對此標題和其他類似的書的詳細資訊,請訪問 elsevierdirect.com。