Dieser Artikel wurde maschinell übersetzt.

Cloud-Computing: Datenschutz in der Cloud

Sie können und sollten verschiedene Schritte vornehmen, um bei der Migration zur Cloud die Sicherheit Ihrer Unternehmensdaten zu gewährleisten.

Vic (j.r.) Winkler

Adaptiert von "Securing the Cloud" (Syngress, ein Abdruck von Elsevier)

Das Thema Datenschutz ist an der Spitze der jedermanns Geist. Werbespots werben Sicherheitsprodukte und Nachrichten, welche Programme häufig die neuesten Datenschutzverletzung beschreiben. Öffentliche Wahrnehmung beiseite, jede Organisation hat eine rechtliche Verpflichtung sicherzustellen, dass die Privatsphäre ihrer Mitarbeiter und Kunden geschützt ist.

Gesetze verbieten einige Daten für sekundäre aus anderen Gründen als den Zweck, für den sie ursprünglich erhoben wurde. Sammeln von Daten über die Gesundheit Ihrer Mitarbeiter, z. B. nicht und dann verwenden, um Rauchern mit höheren Versicherungsprämien zu berechnen. Darüber hinaus können nicht Sie bestimmte Daten an Dritte weitergeben. In der Welt des Cloud computing wird dies sehr viel schwieriger, da Sie jetzt eine dritte Partei haben, den Betrieb und die Infrastruktur. Naturgemäß haben diesen Anbieter Zugriff auf Ihre Daten.

Wenn Sie sammeln und Speichern von Daten in der Cloud und den rechtlichen Anforderungen an eine oder mehrere Bestimmungen unterliegt — zum Beispiel The Health Insurance Portability und Accountability Act (HIPAA) oder das Gramm-Leach-Bliley Act (GLBA) — stellen Sie sicher, der Cloud-Anbieter schützt die Vertraulichkeit der Daten in geeigneter Weise. Auf die gleiche Weise wie innerhalb Ihrer Organisation erhobenen Daten müssen in der Wolke gesammelten Daten nur für den Zweck verwendet werden für die sie ursprünglich erhoben wurde. Wenn die einzelnen angegeben, dass die Daten für einen Zweck verwendet werden, muss diese Zusicherung gefolgt werden.

Anmerkungen zum Datenschutz geben oft, dass Einzelpersonen können auf ihre Daten zuzugreifen und diese gelöscht oder geändert. Wenn die Daten in einer Cloud-Anbieter Umgebung, Datenschutzanforderungen noch bewerben und Unternehmen muss sicherstellen, dass dies in einem ähnlichen Zeitrahmen erlaubt ist, als wären die Daten vor Ort gespeichert. Wenn Datenzugriff nur von Personal innerhalb der Cloud-Anbieter Unternehmen erreicht werden kann, müssen Sie zufrieden sein können sie die Aufgabe erfüllen, je nach Bedarf.

Wenn Sie einen Klick-Wickel-Vertrag abgeschlossen haben, werden Sie eingeschränkt werden, was der Cloud-Anbieter in diesen Nutzungsbedingungen dargelegt hat. Sogar mit einem maßgeschneiderten Vertrag kann der Cloud-Anbieter versuchen, das Datensteuerelement, um sicherzustellen, dass ihre Kunden einen einheitlichen Ansatz haben. Dadurch verringert sich die Cloud-Anbieter Overhead und die Notwendigkeit der Mitarbeiter einerseits spezialisiert haben. Wenn vollständige Kontrolle über Ihre Daten eine Notwendigkeit ist, müssen Sie dies im Voraus zu gewährleisten und eine Cloud-Anbieter Bedingungen nicht Knicken.

Es gibt eine Reihe von Cloud-Providern, die spezialisiert sind in unterschiedlichen Märkten und passen ihre Dienste zu diesen Märkten. Dies wird voraussichtlich in den kommenden Jahren häufiger geworden. Wolke Nischenanbieter werden wahrscheinlich auch entstehen. Beispielsweise würde die einschlägigen Vorschriften wie HIPAA Cloud-Providern, die Dienstleistungen im Gesundheitswesen gebunden. Wir würden erwarten, dass sie kostenlos für die besondere Behandlung und Steuerelemente, die benötigt werden.

Speicherort der Daten

Jedes Unternehmen mit einer Web-Präsenz oder Einzelpersonen, die Post auf Social Networking Sites Daten auf einem oder mehreren Servern, die eigentlich sein könnte die Aufnahme befindet sich überall. Ob Sie persönliche Informationen zum Aktualisieren Ihrer Business-Links auf LinkedIn oder Facebook Beitrag sind, werden diese Daten irgendwo gespeichert. Als Unternehmen bewegen sich in Richtung verwenden und umfassende Cloud-Providern, wird der Speicherort dieser Daten aufgrund von Datenschutz, rechtliche oder regulatorische Anforderungen wichtiger.

Globale Unternehmen müssen sicherstellen, dass alle Dienste in der Cloud bereitgestellt laut Gesetze und Regelungen für den Arbeitnehmer, ausländische Tochtergesellschaften oder Dritte verwendet werden. US Gesetz wird deutlich verschieden von der anderen Regionen sein, auch wenn es die eigenen Mitarbeiter, die den Dienst verwenden, musst du die Gesetze kennen, die Ihnen in ihrer Position zu beziehen.

Tochtergesellschaften in anderen Regionen haben leicht unterschiedliche Gesetze für die Sie Konto haben, auch wenn sie im gleichen allgemeinen Bereich. Einige ausländischen Tochtergesellschaften haben keine Probleme, die Freigabe von Daten mit einer Region, aber nicht mit einem anderen. Die Mischung eine Wolke Anbieter hinzufügen, fügt eine weitere Schicht der Komplexität.

Der primäre Speicherort der Daten und Sicherungsspeicherorte müssen bekannt sein, um diese Gesetze zu gewährleisten und Vorschriften beachtet werden. Oft müssen die Sicherungsspeicherorte bestimmt werden. Amazon.com Inc., hat zum Beispiel große Datenzentren in den Vereinigten Staaten und Irland, die Probleme verursachen könnten, wenn sie als Backup für bestimmte Arten von Daten Zentren verwendet wurden.

Die Datenschutzgesetze der Mitgliedstaaten der Europäischen Union (EU) sowie anderen Regionen sind äußerst komplex und haben eine Reihe von endgültigen Anforderungen. Die Übermittlung personenbezogener Daten außerhalb dieser Regionen muss auf ganz besondere Art und Weise behandelt werden. Beispielsweise muss die EU der Kollektor der Daten oder Daten-Controller, Einzelpersonen informieren muss, dass die Daten gesendet und in einer Region außerhalb der EU verarbeitet werden. Der End-Prozessor und Datenschutzbeauftragter müssen auch Verträge, die von der Datenschutzbehörde im Voraus genehmigt haben. Dies wird je nach Region Schwierigkeitsgrade haben, die die Daten verarbeitet. Die USA und die EU haben eine wechselseitige Vereinbarung und den USA Empfänger muss nur seine Daten-Verfahren self-certify durch die Registrierung mit den USA US-Handelsministerium.

Sie müssen sicherstellen, dass alle Anbieter von Cloud, die Sie verwenden, die außerhalb Ihrer Zuständigkeit angemessene Sicherheitsmaßnahmen eingerichtet haben. Hierzu gehören ihre primäre und Standorte sowie alle zwischengeschalteten Stellen, wenn die Übertragung von Daten zwischen Ländern.

Indem man Ihre Daten auf einem fremden Server, ob eine Cloud-Anbieter oder andernfalls sind Sie Ihre Daten an diese Dritten anzuvertrauen. Sie müssen um sicherzustellen, dass angemessene Sicherheit für Ihre Bedürfnisse ist und alle gesetzlichen Anforderungen erfüllen. Anbieter Kontrollmechanismen und Verfahren auch müssen die lokalen Gesetze der Region in dem sich der Server befindet. Wenn Sie einen Vertrag mit einem Unternehmen in den Vereinigten Staaten eingegeben haben, aber sie die Daten auf einem Server in der EU Host, ist es wahrscheinlich, dass müssen Sie durch die Gesetze der EU zu halten, wenn Sie Daten in und aus dem System übertragen möchten.

Diese Gesetze möglicherweise mehr belastend, wenn der Server in bestimmten Regionen wie China, gehostet wird, wo Gesetze, Grafschaft gestatten unbegrenzten Zugriff auf die Daten unabhängig von seiner Empfindlichkeit. Sie können sogar begrenzt (verboten oder) von der Verschlüsselung von Daten, ohne Gewährleistung der lokale Behörden es entschlüsseln kann, je nach Bedarf.

Der Wolke-Provider-Markt wächst, aber es gibt nur noch eine begrenzte Anzahl von Spielern, die großflächige Anwendung und Daten-hosting anbieten können. Dies führt Unternehmen einige oder alle der hosting an ein anderes Unternehmen, möglicherweise in einer anderen Region weiterzuvergeben. Vor jeder Vertrag eingehen, wissen alle Unteraufträge und führen Sie entsprechende Sicherheitsüberprüfungen für diese als gut.

Einige Anbieter von Cloud werden unweigerlich in Konkurs gehen oder nicht mehr funktionieren. Zugang zu Ihren Daten wird sofort ein Thema. Je nachdem, wo sich der Server befindet dies müssen Sie durch eine andere Region Zuständigkeit zum Abrufen der Daten zurück gehen und die Daten können ganz andere Regeln unterliegen.

Sekundäre Nutzung von Daten

Je nach Art der Cloud-Anbieter, mit denen Sie einen Vertrag, müssen Sie prüfen, ob Ihre Daten geht, um von den Lieferanten oder anderen abgebaut werden. Die Nutzung Ihrer Daten kann nämlich zu Ihnen oder aufgrund eines Konfigurationsfehlers seitens des Anbieters auftreten. Ausgehend von der Sensibilität der Daten, sollten Sie Ihren Vertrag verbietet oder zumindest schränkt den Zugriff, den der Cloud-Anbieter diese Daten nutzen muss, zu gewährleisten.

Dies kann besonders hart sein, wenn Sie einen Klick-Wickel-Vereinbarung einzugehen. Wie wir alle wissen, werden sehr wenige von uns überhaupt das Kleingedruckte lesen. Wir klicken Sie einfach die Stimme-Box angezeigt wird. Im Jahr 2009, wenn Facebook seine Begriffe rund um Datensicherheit geändert, beschwerten sich viele Menschen. Jedoch führte die Mehrheit der Nutzer mit Hilfe des Dienstes, da sie es für sinnvoll erachtet. Es ist wahrscheinlich, dass Ihre Benutzer auf die gleiche Weise reagieren werden, die auch Fragen der Sicherheit geben kann.

Die Daten, die Sie in der Cloud speichern können vertrauliche oder halten Sie persönliche Daten, die für die Sicherheit zu gewährleisten. Der Cloud-Anbieter wird voraussichtlich haben vollen Zugriff auf diese Daten zu pflegen und verwalten Ihre Server. Sie müssen sicherstellen, dass dieser Zugang nicht in irgendeiner Weise missbraucht wird. Obwohl ein Vertrag Sie rechtlich schützen kann, müssen Sie auch sicherstellen, dass Sie überzeugt sind, dass die Sicherheit im Ort beim Provider unbefugten Zugriff auf Ihre Daten ermitteln.

Wiederherstellung nach Datenverlust

Sie können nicht die Bedeutung von Business Continuity und Desaster Recovery überzeichnet. In Bezug auf Disaster-Recovery müssen Sie einige mögliche Szenarios zu berücksichtigen: ein Anbieter aus dem Geschäft gehen, oder ihre Datacenter unbrauchbar werden könnte. Die wichtigsten Fragen mit dem ersten Szenario sind Ihre Daten immer wieder und verlagern Ihre Cloud-Anwendungen zu einem anderen Anbieter. Diese sollte durchdacht sein, bevor die Bereitstellung in der Cloud. Außerdem schützen Sie Ihre Interessen durch regelmäßige Datensicherungen gewährleisten.

Geführten Sie irgendeine Form von Plan auf, wenn Sie in die Wolke verschieben und diesen Plan in regelmäßigen Abständen zu überprüfen. Marktfaktoren und andere Umstände ändern ganz schnell. Es wurden eine Reihe von Fällen, wo ein Datencenter einen katastrophalen Ausfall, was zu einem Verlust oder Unterbrechung der Dienste auf vielen Websites und Unternehmen, einschließlich erlitten hat:

• Ein Feuer in einem Datencenter in Green Bay, Wisconsin, USA, im Jahr 2009 führten zu Ausfällen für einige gehosteten Websites für bis zu 10 Tage.
• Ein Ausfall in Fisher Plaza (Seattle) im Juli 2009 beeinflusst viele Websites, einschließlich Bing Reisen.
• Eine Explosion in der Anlage Datacenter in Houston 2008 nahm fast 9.000 Kunden offline für mehr als ein paar Tage.
• Rackspace US Inc. hatte einen Ausfall in der Dallas-Mitte 2009, die knapp eine Stunde dauerte.
• 365 Main Datencenter hatte Ausfälle im Jahr 2007 die Craigslist, Yelp und anderen betroffenen.
• Google erlitt ein Datencenter parallelen Stromausfall durch einen Software-Upgrade-Fehler während der Februar 2009, verursachte den Verlust von e-Mail-Dienst für viele Kunden.

Abhängig von Ihren Vorbereitungen könnte eines dieser Ereignisse eine bloße Unannehmlichkeiten oder eine unmittelbare Gefahr für Ihr Unternehmen. Kleinere Unternehmen sind eher betroffen sein werden, härter, da sie weniger Fachwissen und weniger Ressourcen haben. Ein Ausfall könnte verheerend auf ihr Geschäft auswirken.

Wie Sie aus dieser Liste von Vorfällen sehen können, ist es nicht nur körperliche Probleme aufgrund von Kraft oder Kühlung Ausfälle, sondern auch Softwarefehler, die einem Datencenter nehmen können. Hacker Denial-of-Service-Angriffe auf bestimmte Websites könnten ebenfalls Ihre Website aufgrund Bandbreitenprobleme beeinflussen, wenn die angegriffene Website im selben Rechenzentrum gehostet wird.

Sicherheitsverletzungen

Ihre Anwendung Daten werden gefährdet oder verletzt, während in der Cloud gehostet. In diesem Fall wird Ihnen durch die Cloud-Anbieter Systeme oder auf andere Weise mitgeteilt. Ich hoffe, Sie würden nie herausfinden wegen eines Kunden beschweren sich über Identitätsdiebstahl.

Sie müssen über Ihre Cloud-Anbieter Veröffentlichungspolitik klar sein und verstehen, wie schnell sie die Verletzung an Sie weitergeben werden. Die Mehrheit der U.S. Staaten haben Verletzung Offenlegung Sicherheitsgesetze, die erfordern die Datenbesitzer Personen zu benachrichtigen, wenn ihre persönlichen Daten in keiner Weise gefährdet ist. Diese Gesetze erfordern, dass Sie sicherstellen, dass Sie umgehend auf eine Verletzung, vorzugsweise im ursprünglichen Vertrag definierten informiert werden.

Alternativ, wenn Sie, dass Ihre Daten verletzt worden ist feststellen, müssen Sie den Cloud-Anbieter zu informieren. Dies könnte Auswirkungen auf die anderen Clients haben. Sie werden wahrscheinlich eine Umgebung mit einem oder mehreren Unternehmen teilen. Je nach Ausmaß der Verletzung kann dies einige davon beeinflussen. Nachdem in den Vertrag und einem gegenseitig vereinbarten Maßnahmen definiert nach Vorfällen Plan sorgt dafür, dass beide Parteien der Folgen der Verletzung Milderung können.

Vic (j.r.) Winkler Senior ist associate bei Booz Allen Hamilton Inc., die technischen Beratung vor allem USA Regierung Kunden. Er ist eine veröffentlichte Informationssicherheit sowie Cyber-Sicherheitsexperte und Experte für Eindringen/Anomalie-Erkennung.

© 2011 Elsevier Inc. Alle Rechte vorbehalten. Gedruckt mit Erlaubnis von Syngress, ein Abdruck von Elsevier. Copyright 2011. "Sicherung der Wolke" von Vic (j.r.) Winkler. Weitere Informationen zu diesem Titel und andere ähnliche Bücher besuchen Sie bitte elsevierdirect.com.

Verwandte Inhalte

• Cloud-Computing: Kopf ab, um die Wolke
• Microsoft Forefront: Sicherer Zugriff auf Ihre Cloud-Services
• Wolke-Sicherheit: Teilen Sie es sicher Lösungen