Cloud-Computing: Datenschutz, Vertraulichkeit und die Cloud

Beim Verschieben, Speichern und Abrufen von Daten über Cloud-Dienste gibt es alte und neue Sicherheitsaspekte zu bedenken.

Vic (j.r.) Winkler

Adaptiert von "Securing the Cloud" (Syngress, ein Abdruck von Elsevier)

In diesen Tagen, sind Sie häufig Verarbeitung, Speicherung oder Übertragung von Daten, die zu rechtlichen Thema hat und Compliance-Anforderungen. Wenn diese Daten fällt unter rechtlichen oder Einhaltung Beschränkungen, Ihre Wahl der Wolke Bereitstellung (ob privat, Hybrid oder Öffentlichkeit) beruht auf dem Verständnis, dass der Anbieter vollständig kompatibel ist. Andernfalls besteht die Gefahr der Verletzung von Datenschutz, rechtliche oder andere gesetzlichen Vorschriften. Die Folgen für die Sicherheit der Informationen sind wichtig, wenn es um Datenschutz geht.

Gab es genügend Privatlebenverletzungen jenseits von Cloud computing eine Besorgnis über jedes System — Cloud-basierte oder traditionelle — Wenn Sie speichern, verarbeiten oder sensiblen Informationen zu übermitteln. Die Wolke hat eine eigene Beispiele sowie. Im Jahr 2010 Wolke mehrere Datenschutzinformationen, dass Expositionen mit einer Reihe von Cloud-basierter Dienste, wie Facebook, Twitter und Google aufgetreten sind.

Belange des Datenschutzes innerhalb der Cloud-Modell sind nicht neu. Als Mieter Datenschutz rechtliche Verpflichtungen ist Ihr Umgang mit Fragen der Privatsphäre nicht anders, wenn Sie die Wolke verwenden. So, wie Sie diese Informationen auf einem Server ohne angemessene Kontrollen zu speichern würde nicht, würde nicht wählen Sie eine Cloud-Anbieter ohne zu überprüfen, es erfüllt die gleichen Maßstäbe für wie es die Daten in Ruhe, bei der Übertragung oder beim Verarbeiten schützt.

Ihre Richtlinien können alle externen Anbieter Verwalten von vertraulichen Informationen für Sie, einschließlich Cloud-Providern ausschließen. Während es möglicherweise der Eindruck, dass der Computer auf dem Schreibtisch sicherer als eine public Cloud ist, ist es wahrscheinlich nicht (es sei denn, du, ungewöhnliche technische und verfahrenstechnische Vorsichtsmaßnahmen nimmst). Sicherheit und Governance sind zwei Dingen, und als Teil des fälligen Fleiß, du musst verstehen Ihres Anbieters Datenschutz Governance, sowie seine Sicherheitspraktiken und Leitlinien.

Wie bei persönlichen Informationen unterliegen den Datenschutzbestimmungen unterliegen verschiedenen Klassen von Geschäfts- und nationale Sicherheitsinformationen auch Verordnung und Gesetz. Nationale Sicherheitsinformationen und Prozesse profitieren von stark und hoch entwickelten rechts- und Anleitung. Diese ergeben sich aus öffentlichen Rechts und Fluss hinunter durch jede einzelne Agentur oder offiziell verantwortliche Stelle.

Angesichts der Größe der Regierung und die Anzahl der Ebenen und Gerichtsbarkeiten, scheint es, dass die Regierung selbst eine Reihe von Gemeinschaft Wolken zur ausschließlichen Nutzung, dadurch erhalten die Vorteile und die Vermeidung der Probleme bei Zusammenleben in einer öffentlichen Cloud betreiben konnte. Auf der anderen Seite würde die Regierung eine public Cloud verwenden, hätte diesen Dienst die Interessen der Mieter und alle geltenden Vorschriften und Gesetzen erfüllen.

Es ist möglich, dass der Mieter zusätzliche Sicherheit Steuerelemente implementieren könnte, die behördlichen und gesetzliche Anforderungen zu erfüllen, auch wenn die zugrunde liegende öffentliche Infrastruktur als Service (IaaS) oder Platform as a Service (PaaS) vollständig die gleichen Anforderungen nicht erfüllt. Allerdings muss verstanden werden, dass die Palette der zusätzliche Steuerelemente, die von einem Mieter eingebunden werden können sind begrenzt und können nicht überwinden viele Lücken in einigen öffentlichen Cloud-Services.

Daten Besitz und Gebietsschema Belange

Neben Datenschutz und Vertraulichkeit betrifft bringt Eigentümer Informationen Weitere Fragen. Es gibt Potenzial für Erosion der Informationen Vermögenswert Eigentum beim Verschieben von Ressourcen in einem externen System. Es gibt ein fundamentalen Unterschied zwischen Dateneigentum und Verantwortung als ein Daten-Depotbank.

Obwohl Rechtsdaten Eigentümer mit dem ursprünglichen Dateneigentümer bleibt, ist ein potenzieller Bereich zur Sorge bei einer öffentlichen Cloud, dass Cloud-Anbieter verantwortlich für beide Rollen werden kann. Es gibt kein besseres Beispiel dafür, als wenn eine juristische Person des Durchsetzung einen Haftbefehl zu einem Cloud-Anbieter für den Zugriff auf ein Mieter Informationsressourcen dient.

Wo sich Daten befinden und welche Länder es durchqueren kann Beiträge zu Bedenken sind. Speichern und Verschieben von Daten online präsentiert die Möglichkeit für die heimlich Prüfung fremder Geheimnisse. In Reaktion darauf festgelegt die Datenschutzrichtlinie der Europäischen Union (EU) in welchen Ländern EU private und persönliche Daten können nicht durchlaufen oder befinden können. Dies hat tiefgreifende Auswirkungen auf alle EU-Mitgliedstaaten.

Aus der Sicht von Cloud computing, die Auswirkungen dieser Richtlinie wird wahrscheinlich Form wie public Cloud-Anbieter ihre Dienstleistungen umgesetzt. Dies ist ein absolut vernünftig Modell zur Begrenzung des gerichtlichen Fußabdrucks von Daten potenzieller Unfug zu minimieren, denen diese Daten in Durchlauf, Verarbeitung oder Lagerung unterliegt. Alle Wolke Dienst Mieter und Nutzer sollten durch das Potenzial betroffen sein, die eine public Cloud schieben kann, Daten oder Anwendungen aus der Gerichtsbarkeit, in der die Mieter wohnt oder rechtliche Verpflichtungen hat.

Überwachungs- und Forensik

Die Überwachung ist ein überladener Begriff in Sicherheit, aber hier ich meine Bewertung, Sicherheitspolitik, Verfahren, Methoden und technischen Kontrollen für Richtigkeit und Vollständigkeit. Dies ist notwendig, um festzustellen, ob Steuerelemente und Prozeduren um alle operativen Aspekte der Sicherheit, einschließlich Compliance, Schutz, Erkennung und Forensik zu decken sind.

Für Cloud-Services haben diese Prüfungen preisgünstigen für Mieter und Kunden, wie sie ein Gefühl des Vertrauens über die Cloud-Anbieter Sorgfalt vermitteln bei der Sicherstellung der Sicherheit. Als Besitzer der Informationsressourcen führen ein Mieter informiert durch Fleiß an den Anbieter. Da fällig Sorgfalt von Kunden in der Regel nicht skalierbar für Geschäftsmodell des Anbieters, der Anbieter muss transparent über seine Sicherheitspolitik, Governance und Verfahren sein. Infolgedessen sind Mieter in einer besseren Position, um fundierte Entscheidungen zu treffen.

Es gibt mehrere Fragen rund um die Verantwortlichkeiten und die Grenzen, die Mieter und Anbieter in Bezug auf die rechtlich zulässige Beweise für die Strafverfolgung sammeln betreffen. Verstehen, wer was und wie getan hat ist schwer genug, mit einer Beweis-Kette, wo Verantwortung für das Sammeln von Daten zwischen dem Anbieter und Mieter geteilt wird.

Eine Partei kann der rechtmäßige Eigentümer der Daten sein, während der andere die Depotbank ist. Angesichts der Art des Zugriffs auf einige Dienste sind, kann es schwierig sein, eine autorisierende darstellen oder gar nicht verstehen, den Spuren der Aktionen, die nach und nach einem Kompromiss oder eindringen. Von Anfang an könnten mit einem Mieter an einen Anbieter Datensätze heranzukommen die Privatsphäre der anderen Mietern beeinträchtigen.

Zweitens können Veranstaltungen in zwei Reihen von Protokollen nicht verfolgt, wenn Systemuhren nicht identisch sind. Es möglicherweise schwer zu beweisen, dass ein Mieter Forensik Daten gesammelt und gespeichert in einer öffentlichen Cloud hat nicht verändert wurde. Diese Situation stellt einen Satz von hervorragende Möglichkeiten für Anbieter von Cloud sich unterscheiden, indem erweiterte Dienstleistungen anzubieten.

Bedrohungen

Einige der ältesten Programme werden manchmal gefunden, die Schwachstellen, die jahrelang unentdeckt geblieben. Sie sollten immer erwarten, dass was Sie dachte, war sicher gefunden werden kann, anfällig gewesen sein, bevor Sie diese Schwachstelle einmal bewusst waren. Zusätzlich werden einige der Technologien — und sicherlich viele der Softwarekomponenten — dieser Wolke computing besteht aus sind noch ganz neu und habe noch ein hohes Maß an Vertrauen von erfahrenen Sicherheitsexperten zu erzeugen.

Einige Komponenten basieren auf, was nur als Schichten auf Schichten von Software und Protokoll-Gerüste bezeichnet werden kann. Ist die Summe dieser Teile sicher? Die Antwort lautet wahrscheinlich keine. Komplexität und Interaktion zwischen den Komponenten sind zwei Bereiche, die von denen Frühling Schwachstellen her.

So ist es sicher?

Die Wolke ist noch neu, so der Schub für wirksame Kontrollen über den Schutz von Informationen in der Wolke auch entstehende. Derzeit gibt es weniger Security-Lösungen für die Cloud als für die Sicherung von physikalische Geräten in einer traditionellen Infrastruktur vorhanden sind. Während die Kosten der Instanziierung virtuelle Sicherheits-Appliances in der Wolke niedriger ist, ist die Technologie neuer.

Ein Großteil der vorliegenden Klage bei der Verabschiedung des public Cloud ist im Bereich der "early Adopters". Es ist schwierig, festzustellen, ob alle Daten oder die Verarbeitung unter Verstoß gegen gesetzliche Bestimmungen oder Compliance getan wird. Regierung die Vereinigten Staaten hat aufs bezeichnet die Bundesrepublik Gefahr und Autorisierung-Management-Programm (FedRAMP), die Gestalterin aktivieren den gesamten Prozess der Sicherstellung Wolke Instanzen ist sind für einzelne Agentur geeignet.

Zwei Organisationen, die aktiv die Verbesserung von Datensteuerelementen, Schutz und Sicherheit in der Cloud verfolgen sind die Cloud Security Alliance und das Cloud Computing Interoperability Forum. Eine andere Gruppe, die Jericho-Forum hat sich das Problem aus einer anderen Perspektive genähert, nämlich, dass De-perimeterization bereits stattgefunden hat durch eine Vielzahl von Dienstleistungen, die den Umfang der Infrastruktur zu durchdringen, weitgehend durch Tunneln durch Firewalls um Zugriff auf wichtige Dienste bereitzustellen.

Ein Problem bei den meisten Zertifizierungen ist, dass sie mehr über Anlage und Prozess konzentriert sind, als sie auf der neuen de-perimeterized und Service-orientierten Welt sind. Ein zweiter Aspekt ist, dass viele Systeme im Einsatz-Server unter ihnen virtualisierte haben. Wenn diese Server widersprüchliche Anforderungen an die Sicherheit haben, gibt es bereits ein Problem in der Praxis.

Die meisten Sicherheitsprobleme mit Cloud-computing, weder für die Cloud-computing-Modell eindeutig noch sehr schwierig an Adresse sind. Das Cloud-Modell selbst stellt eine einmalige Gelegenheit, mehr Sicherheit zu erreichen. Allerdings muss man anerkennen, dass gibt es Unterschiede. Sie können nicht Cavalier zur Sicherheit mit dem Cloud-Modell sein.

**Vic (j.r.) Winkler**Senior ist associate bei Booz Allen Hamilton Inc., die technischen Beratung vor allem USA Regierung-Kunden. Er ist eine veröffentlichte Informationssicherheit sowie Cyber-Sicherheitsexperte und Experte in Intrusion-Anomalie-Erkennung.

© 2011 Elsevier Inc. Alle Rechte vorbehalten. Gedruckt mit Erlaubnis von Syngress, ein Abdruck von Elsevier. Copyright 2011. “Sicherung der Cloud" von Vic (j.r.) Winkler. Für weitere Informationen zu diesem Titel und andere ähnliche Bücher, besuchen Sie bitte elsevierdirect.com.

Verwandte Inhalte

• Cloud Security: Teilen Sie es sicher Lösungen
• Microsoft Forefront: Sicherer Zugriff auf Ihre Cloud-Services
• Cloud-Computing: Kopf ab in die Cloud