Cloud Computing : Confidentialité des données dans le nuage
Lorsque vous choisissez d'utiliser le nuage, il existe plusieurs étapes que vous pouvez, devez, effectuer pour assurer la sécurité des données de votre entreprise.
Vic (d.c.) Winkler
Adapté de « Obtenir le nuage » (Syngress, une empreinte de Elsevier)
La question de la confidentialité des données est à l'avant-garde de l'esprit de tout le monde. Publicités à la télévision publicité des produits de sécurité et des nouvelles des programmes décrivent souvent la violation de données plus récente. Perception du public à côté, toute organisation a une obligation légale d'assurer la protection de la vie privée de leurs employés et les clients.
Les règlements interdisent certaines données soient utilisées pour des raisons autres que le but pour lequel ils ont été recueillis à l'origine secondaires. Vous ne peut pas collecter des données sur la santé de vos employés, par exemple et ensuite l'utiliser pour charger les fumeurs avec la hausse des primes d'assurance. Aussi, vous ne peut pas partager certaines données avec des tiers. Dans le monde du cloud computing, cela devient beaucoup plus difficile, car vous avez maintenant un troisième parti d'exploitation et de gestion de votre infrastructure. Par sa nature même, ce fournisseur auront accès à vos données.
Si vous êtes collecte et stockage des données dans le nuage et il est soumis aux exigences juridiques du règlement un ou plusieurs — par exemple, la Health Insurance Portability et Accountability Act (HIPAA) ou la loi Gramm-Leach-Bliley Act (GLBA) — vous devez vous assurer le fournisseur nuage protège la confidentialité des données de la manière appropriée. De la même façon que les données recueillies au sein de votre organisation, les données recueillies dans le nuage ne doivent être utilisées aux fins pour lesquelles ils ont été recueillis au départ. Si l'individu a spécifié que données utilisées pour un seul but, cette assurance doit être maintenue.
Avis de confidentialité spécifient souvent que les individus peuvent accéder à leurs données et ont supprimé ou modifié. Si les données sont dans l'environnement du fournisseur sur un nuage, les exigences de la vie privée continuent de s'appliquer et l'entreprise doit s'assurer que c'est accueilli dans un laps de temps semblable comme si les données étaient stockées sur le site. Si l'accès aux données ne peut se faire que par le personnel au sein de l'entreprise du fournisseur nuage, vous devez être convaincus qu'ils peuvent remplir la tâche en fonction des besoins.
Si vous avez entré un contrat d'emballage-cliquez, vous allez être limitée à ce que le fournisseur de nuage a énoncé en ces termes. Même avec un contrat sur mesure, le fournisseur de nuage peut essayer de limiter le contrôle de données pour s'assurer que ses clients ont une approche unifiée. Cela réduit les frais généraux du fournisseur le nuage et la nécessité d'ont spécialisé personnel à côté. Si un contrôle complet sur vos données est une nécessité, vous devez assurer cette avance et pas se plier aux conditions du fournisseur sur un nuage.
Il y a un certain nombre de fournisseurs de nuage qui se spécialisent dans des marchés distincts et d'adapter leurs services à ces marchés. Cela est susceptible de devenir plus fréquents dans les années à venir. Fournisseurs de nuage de niche émergeront probablement aussi. Par exemple, les fournisseurs de nuages qui offrent des services de soins de santé seraient liés par les règlements pertinents, tels que la HIPAA. Nous nous attendrions à charge pour le traitement spécial et les contrôles qui sont nécessaires.
Emplacement des données
Toute entreprise avec une présence sur le Web ou des personnes qui poste sur les sites de réseautage social enregistre des données sur un ou plusieurs serveurs qui pourraient effectivement être situé n'importe où. Si vous êtes affichant des renseignements personnels de Facebook ou de mettre à jour vos liens d'affaires sur LinkedIn, ces données seront stockées quelque part. Entreprises migrent vers les utilisant et embrassant les fournisseurs de cloud, l'emplacement de ces données sera plus important en raison de la confidentialité des données, des exigences légales ou réglementaires.
Les entreprises multinationales doivent s'assurer que tous les services déployés dans le nuage sont utilisés selon les lois et règlements en vigueur pour les employés, des filiales à l'étranger ou des tiers. U.S. droit sera sensiblement différente de celle des autres régions, donc même si c'est votre propre employés qui utilisent le service, vous devez être au courant des lois qui se rapportent à eux dans leur emplacement.
Filiales dans d'autres régions peuvent avoir légèrement différentes lois pour lesquelles vous avez compte, même s'ils sont dans le même secteur général. Certaines filiales étrangères ne peuvent avoir aucun problèmes de partage de données avec une région, mais pas avec un autre. Ajout d'un fournisseur de nuages au mélange ajoute une autre couche de complexité.
L'emplacement principal des données et des emplacements de sauvegarde doivent être connues pour s'assurer que ces lois et règlements sont respectés. Souvent, les emplacements de sauvegarde doivent être déterminées. Amazon.com Inc., a par exemple, les grands centres de données dans les États-Unis et de l'Irlande, qui pourrait causer des problèmes s'ils étaient utilisés comme centres de sauvegarde pour certains types de données.
Les lois de protection des données des États l'Union européenne (UE), ainsi que d'autres régions, sont extrêmement complexes et ont un certain nombre d'exigences définitives. Le transfert de données à caractère personnel à l'extérieur de ces régions doit être gérée de manière très précise. Par exemple, l'UE exige que le collecteur de données, ou contrôleur des données, doit informer les personnes que les données seront envoyées et traitées dans une région à l'extérieur de l'Union européenne. Le contrôleur des données et la fin processeur doivent aussi avoir des contrats approuvés par l'autorité de Protection des données à l'avance. Cette mesure aura différents niveaux de difficulté selon la région qui traite les données. Les États-Unis et l'UE ont un accord réciproque et les États-Unis. destinataire n'a qu'à certifier eux-mêmes ses procédures données en enregistrant avec les États-Unis. Département du Commerce.
Vous devez vous assurer que les fournisseurs de nuage que vous utilisez qui sont hors de votre juridiction ont des mesures de sécurité adéquates en place. Cela inclut leurs localisations principales et de sauvegarde, ainsi que les points intermédiaires si données sont transférées entre les juridictions.
En mettant vos données sur un serveur tiers, si un fournisseur de nuage ou autrement, vous êtes confiant vos données à des tiers. Vous avez besoin pour assurer une sécurité adéquate pour vos besoins et pour répondre à toutes les exigences réglementaires et légales. Procédures et contrôles fournisseur doivent aussi se conformer aux lois locales de la région où se trouve le serveur. Si vous avez conclu une entente avec une entreprise aux États-Unis, mais ils accueillent les données sur un serveur dans l'Union européenne, il est probable que vous devrez respecter les lois de l'Union européenne si vous souhaitez transférer des données dans et hors du système.
Ces lois peuvent être plus lourdes si le serveur est hébergé dans certaines régions comme la Chine, où les lois peuvent permettre de gouvernement local un accès illimité aux données quelle que soit sa sensibilité. Vous pouvez même être limitée (ou interdite) de crypter les données sans assurer les autorités locales peut déchiffrer au besoin.
Le marché fournisseur de nuage est en expansion, mais il y a toujours qu'un nombre limité de joueurs qui peuvent offrir une application à grande échelle et l'hébergement des données. Cela peut conduire les entreprises à sous-traiter une partie ou la totalité de l'hébergement à une autre compagnie, peut-être dans une autre région. Avant de conclure toute entente, être au courant de tous les contrats de sous-traitance et effectuer des vérifications de sécurité appropriées sur ces ainsi.
Certains fournisseurs de nuage seront inévitablement faire faillite ou cesser l'exploitation. Accès à vos données devient instantanément une question. Selon où réside le serveur, ceci pouvant vous obliger à passer par la compétence d'une autre région pour obtenir les données de retour, et les données peuvent faire l'objet de règles d'accès complètement différent.
Utilisation secondaire des données
Selon le type de fournisseur de nuages avec lesquels vous du contrat, vous devrez examiner si vos données va être exploité par le fournisseur ou par d'autres. L'utilisation de vos données peut se produire sans vous, ou en raison d'une erreur de configuration sur une partie du fournisseur. Basé sur la sensibilité de vos données, vous pouvez assurer votre contrat interdit ou limite au moins l'accès qu'au fournisseur de nuage a utiliser ces données.
Cela peut être particulièrement difficile lorsque vous entrer dans un accord clic-enveloppement. Comme nous le savons, très peu d'entre nous permettra à tous les lire les petits caractères. Nous avons cliquez simplement sur la boîte d'accord lorsqu'il apparaît. En 2009, quand Facebook a modifié ses conditions autour de sécurité des données, beaucoup de gens se sont plaints. Cependant, la majorité des utilisateurs à bord à l'aide du service parce qu'ils ont jugé utile. Il est probable que vos utilisateurs réagiront de la même manière, ce qui peut vous donner bien des questions de sécurité.
Les données que vous êtes le stockage dans le nuage peuvent être confidentiel ou tenir les données à caractère personnel pour lesquelles vous devez vous assurer la sécurité. Le fournisseur de cloud est susceptible d'avoir un accès complet à ces données, de maintenir et de gérer vos serveurs. Vous aurez besoin assurer que cet accès n'est pas maltraité d'aucune façon. Bien qu'un contrat peut vous protéger juridiquement, vous aurez également besoin de s'assurer que vous êtes convaincus que la sécurité en place pour le fournisseur permet de détecter tout accès non autorisé à vos données.
Récupération d’urgence
Vous ne saurait surestimer l'importance de la continuité et de reprise après sinistre. Sur le plan de reprise après sinistre, vous devez tenir compte de certains scénarios possibles : un fournisseur pourrait sortir d'une entreprise, ou de leur datacenter pourrait devenir inopérant. Les principales questions avec le premier scénario récupérer vos données et réinstallation de vos applications de nuage à un autre fournisseur. Ces doivent être pensés avant de les déployer dans le nuage. Tu devrais également protéger vos intérêts en s'assurant que les sauvegardes de données régulières.
Énoncé une forme quelconque de régime lorsque vous déplacez vers le nuage et revenir sur ce plan, sur une base régulière. Facteurs de marché et d'autres circonstances changent très rapidement. Il y a eu un certain nombre de cas où un centre de données a subi une panne catastrophique, entraînant une perte ou une interruption des services à de nombreux sites Web et les entreprises, y compris :
- Un incendie dans un datacenter à Green Bay, au Wisconsin, en 2009 a conduit à des pannes pour certains hébergé des sites Web jusqu'à 10 jours.
- Une panne de Fisher Plaza (Seattle) en juillet 2009 affecté de nombreux sites, y compris les voyages de Bing.
- Une explosion dans l'usine datacenter à Houston en 2008 a pris près de 9 000 clients en mode hors connexion pour autant que quelques jours.
- Rackspace US Inc. avait une panne dans son centre de Dallas en 2009, qui a duré moins d'une heure.
- Le datacenter principal 365 avait des pannes en 2007 qui a touché la Craigslist, Yelp et autres.
- Google a subi un datacenter roulement panne due à une erreur de mise à niveau de logiciels au cours du mois de février 2009, causant la perte de service de messagerie pour de nombreux clients.
Selon votre niveau de préparation, un de ces événements pourrait être un simple inconvénient ou une menace imminente pour votre entreprise. Les petites entreprises sont plus susceptibles d'être touchées le plus durement, car ils peuvent avoir moins d'expertise et de moins de ressources. Une panne peut sérieusement perturber leurs activités.
Comme vous pouvez le voir dans cette liste d'incidents, il n'est pas juste physiques questions en raison de la puissance ou refroidissement des échecs, mais aussi des erreurs de logiciel qui peuvent abattre un datacenter. Attaques par déni des pirates de service contre les sites Web spécifiques pourraient aussi influer sur votre site en raison de problèmes de bande passante si le site attaqué est hébergé dans le datacenter de même.
Atteintes à la sécurité
Votre application ou des données peuvent être compromises ou violées alors qu'il est hébergé dans le nuage. Dans ce cas, vous serez avisé par le biais de systèmes du fournisseur nuage ou tout autre moyen. J'espère que vous aurait jamais savoir en raison d'un client se plaint de l'usurpation d'identité.
Vous devez être clair sur la politique sur la divulgation de votre fournisseur de nuage et de comprendre comment rapidement ils divulgueront la brèche pour vous. La majorité des États-Unis États ont des lois de divulgation de rupture sécurité qui exigent le propriétaire des données d'aviser les personnes si leurs données personnelles ont été compromises de quelque façon. Ces lois exigent que vous assurer que vous êtes informé sans délai de toute violation, préférence, tel que défini dans le contrat initial.
Alternativement, si vous découvrez que vos données ont été violées, vous devrez informer le fournisseur de nuage. Cela pourrait avoir des répercussions sur ses autres clients. Vous aurez probablement partager un environnement avec une ou plusieurs entreprises. Selon l'ampleur de la violation, cela peut affecter certains d'entre eux. Après avoir défini des mesures en place dans le contrat et d'un commun accord sur la réponse aux incidents régime assurera que les deux parties peuvent atténuer les conséquences d'une violation.
.jpg)
Vic (d.c.) Winkler est un principal associé à Booz Allen Hamilton Inc., fournissant la consultation technique principalement des États-Unis clients du gouvernement. Il est une sécurité de l'information publiée et chercheur en sécurité cybernétique, ainsi que d'expert en détection d'intrusion et anomalies.
© 2011 Elsevier Inc. Tous droits réservés. Imprimé avec la permission de Syngress, une empreinte de Elsevier. Copyright 2011. « Obtenir le nuage » par Vic (d.c.) Winkler. Pour plus d'informations sur ce titre et d'autres livres similaires, veuillez visiter elsevierdirect.com.