Cloud computing: Privacy, riservatezza e il cloud
Esistono tutta una serie di problematiche da affrontare quando si spostano, archiviano e si accede ai dati tramite i servizi cloud.
Vic (J.R.) Winkler
Adattato da "Securing the Cloud" (Syngress, un'impronta di Elsevier)
In questi giorni, si sta frequentemente elaborazione, memorizzazione o trasmissione di dati che è soggetto a normative e requisiti di conformità. Quando tali dati rientra nella regolamentazione o restrizioni di conformità, la scelta della nube distribuzione (se privato, ibrido o pubblico) cerniere sulla comprensione che il provider è pienamente compatibile. In caso contrario, c'è il rischio di violazione della privacy, normativa o altri requisiti legali. Le implicazioni per il mantenimento della sicurezza delle informazioni sono importanti quando si tratta di privacy.
Ci sono stati abbastanza violazioni della privacy di fuori del Regno del cloud computing per ci sia preoccupazione per qualsiasi sistema — cloud-based o tradizionale — quando memorizzazione, elaborazione o trasmissione di informazioni riservate. La nube ha propri esempi pure. Nel 2010, molti nube Informativa privacy esposizioni si è verificato con una serie di servizi basati su cloud, tra cui Facebook, Twitter e Google.
Preoccupazioni sulla privacy all'interno del modello cloud non sono nuove. Come un inquilino con obblighi legali sulla privacy, la gestione delle questioni di privacy non è diversa se si utilizza il cloud. Così come è non memorizzare tali informazioni su un server senza controlli adeguati, è wouldn't selezionare qualsiasi cloud provider senza verificare soddisfa il benchmark stesso per come protegge i dati a riposo, in trasmissione o durante l'elaborazione.
I criteri possono escludere qualsiasi provider esterni, gestione delle informazioni riservate per te, tra cui cloud provider. Mentre ci può essere una percezione che il computer sulla scrivania è più sicuro di un cloud pubblico, è probabilmente non (a meno che stai prendendo insolite precauzioni tecniche e procedurale). Sicurezza e governance sono due questioni distinte e come parte della dovuta diligenza, sarà necessario comprendere appieno la governance sulla privacy del tuo provider, così come sue pratiche di sicurezza e linee guida.
Come informazioni personali soggette a leggi sulla privacy, varie classi di attività e informazioni sulla sicurezza nazionale sono inoltre soggette a regolamentazione e legge. I processi e le informazioni di sicurezza nazionale beneficiano di linee guida, norme e leggi forti e altamente sviluppate. Queste derivano dal diritto pubblico e portata giù attraverso ogni singola agenzia o ente ufficialmente responsabile.
Date le dimensioni del governo e il numero di livelli e giurisdizioni, sembra che il governo si potrebbe operare una serie di nuvole di comunità per suo uso esclusivo, ottenendo così i benefici ed evitando i problemi di convivenza in un cloud pubblico. D'altra parte, se il governo dovesse usare un cloud pubblico, che il servizio avrebbe dovuto soddisfare pienamente gli interessi del inquilino e tutti i regolamenti e le leggi.
È possibile che un inquilino potrebbe implementare controlli di sicurezza aggiuntivi che soddisfano i requisiti legali o normativi anche quando la sottostante public Infrastructure as a Service (IaaS) o la piattaforma come servizio (PaaS) non soddisfa pienamente quegli stessi requisiti. Tuttavia, occorre capire che la gamma di controlli aggiuntivi che possono essere aggiunti da un inquilino sono limitata e non possono superare molte lacune in alcuni servizi cloud pubblico.
Preoccupazioni di proprietà e impostazioni locali dati
Oltre alla privacy e riservatezza preoccupazioni, proprietà dei beni informazioni apre ulteriori domande. Non c'è potenziale per erosione di proprietà patrimoniale informazioni quando lo spostamento di risorse a qualsiasi sistema esterno. C'è una differenza fondamentale tra titolarità di dati e avendo responsabilità come custode dei dati.
Anche se la proprietà legale dei dati rimane con il proprietario dei dati originari, un'area potenziale di preoccupazione con un cloud pubblico è che il provider cloud può diventare responsabile per entrambi i ruoli. Non c'è esempio migliore di questo rispetto a quando un'entità di applicazione della legge serve un mandato a un provider di cloud per l'accesso al patrimonio informativo di un inquilino.
Dove risiedono i dati e quali giurisdizioni può attraversare sono preoccupazioni relative. Stoccaggio e spostamento dei dati on-line presenta l'opportunità per l'esame surrettiziamente segreti di qualcun'altro. In risposta a ciò, la direttiva sulla protezione dei dati dell'Unione europea (UE) ha stipulato in quali paesi UE dati privati e personali può o possono non attraversare o risiedere. Questo ha profonde implicazioni per tutti gli Stati membri dell'UE.
Dal punto di vista del cloud computing, l'impatto di questa direttiva sarà probabile forma come fornitori di cloud pubblico implementano i loro servizi. Questo è un modello perfettamente ragionevole per limitare l'ingombro giurisdizionale dei dati per ridurre al minimo il potenziale furberia cui sono soggetti in attraversamento, elaborazione o memorizzazione dei dati. Tutti gli inquilini del servizio cloud e gli utenti dovrebbero essere interessati da potenziali che un cloud pubblico può spingere dati o applicazioni fuori della giurisdizione in cui l'inquilino risiede o ha degli obblighi di legge.
Controllo e analisi forense
Il controllo è un termine overload in sicurezza, ma qui intendo valutare i criteri di sicurezza, le procedure, le pratiche e i controlli tecnici per correttezza e completezza. Ciò è necessario per valutare se i controlli e le procedure sono adeguate soddisfare tutti gli aspetti operativi di sicurezza, inclusa la conformità, protezione, rilevamento e analisi forensi.
Per i servizi cloud, tali verifiche hanno grande valore per gli inquilini e i clienti come esse trasmettono un senso di fiducia sulla diligenza del provider cloud nel garantire la sicurezza. Come proprietario di un patrimonio di informazioni, un inquilino deve eseguire informato dovuta diligenza del prestatore. Perché dovuta diligenza dai clienti generalmente non scala di modello di business del provider, il provider deve essere trasparente sulla sua politica di sicurezza, governance e procedure. Come risultato, gli inquilini sono in una posizione migliore per prendere decisioni informate.
Ci sono diverse questioni circa le responsabilità e i limiti che riguardano gli inquilini e fornitori per quanto riguarda la raccolta delle prove giuridicamente ammissibile per la persecuzione. Chi ha fatto cosa e come la comprensione è abbastanza dura con una catena di prove dove la responsabilità per la raccolta dati è condiviso tra il provider e l'inquilino.
Una parte può essere il proprietario legale dei dati, mentre l'altro è il custode. Data la natura di come alcuni servizi sono accessibili, possono essere difficile da rappresentare autorevolmente o anche capire il sentiero delle azioni che portano a e a seguito di un compromesso o penetrazione. Per cominciare, avendo un inquilino di ottenere l'accesso ai record di un provider può compromettere la privacy degli altri inquilini.
In secondo luogo, eventi nei due set di registri non possono rilevare se gli orologi di sistema non sono identici. Può essere difficile dimostrare che dati di analisi forense di un inquilino raccolti e archiviati in un cloud pubblico non sono stati alterati. Questa situazione rappresenta una serie di ottime opportunità per i fornitori di cloud di distinguersi offrendo servizi avanzati.
Minacce emergenti
Alcuni dei programmi più antichi si trovano a volte avere vulnerabilità che sono rimasti scoperti per anni. Si deve sempre aspettare che quello che si pensava fosse sicuro possa essere trovata a sono stati vulnerabili prima vi erano anche a conoscenza di tale vulnerabilità. In aggiunta, alcune delle tecnologie — e certamente molti dei componenti software — che cloud computing è composto sono ancora abbastanza nuovo e non hanno ancora generano un elevato grado di fiducia da parte di professionisti esperti di sicurezza.
Alcuni componenti sono costruite sulla cima di quello che può essere descritto solo come strati su strati di software e ponteggi di protocollo. La somma di queste parti è sicuro? La risposta è probabilmente no. Complessità e l'interazione tra i componenti sono due regni dai quali vulnerabilità molla indietro.
Così è sicuro?
La nube è ancora nuova, quindi la Spinta per controlli efficaci sulla protezione dei dati nel cloud è anche nascente. Attualmente ci sono meno di soluzioni di sicurezza per il cloud che esistono per proteggere i dispositivi fisici in un'infrastruttura tradizionale. Mentre il costo di un'istanza di apparecchi di sicurezza virtuale è inferiore nella nube, la tecnologia è più recente.
Gran parte dell'azione presente nell'adottare il cloud pubblico è nel Regno di early adopters. È difficile da accertare se i dati o il trattamento viene fatto in violazione di disposizioni di legge o la conformità. Il governo degli Stati Uniti ha lanciato uno sforzo chiamato il rischio federale e programma di gestione di autorizzazione (FedRAMP), che è orientato verso l'abilitazione dell'intero processo di assicurando nube istanze sono adatte per applicazioni individuali agenzia.
Due organizzazioni che sono attivamente perseguendo il miglioramento dei controlli di sicurezza e protezione dati nel cloud sono il Cloud Security Alliance e il Cloud Computing Interoperability Forum. Un altro gruppo, il Forum di Gerico, ha affrontato il problema da una prospettiva diversa, vale a dire che de-perimeterization ha già avuto luogo a causa di una varietà di servizi che penetrare il perimetro delle infrastrutture in gran parte da tunneling attraverso il firewall per consentire l'accesso ai servizi critici.
Un problema con la maggior parte delle certificazioni è che essi stai focalizzati più sulla struttura e processo piuttosto che sul nuovo mondo de-perimeterized, service-oriented. Un secondo problema è che molti sistemi in uso sono virtualizzato server in esecuzione su di essi. Se questi server sono contrastanti esigenze di sicurezza, c'è già un problema in pratica.
Maggior parte dei problemi di sicurezza con il cloud computing sono unici per il modello di cloud computing, né molto difficile all'indirizzo. Il modello cloud stesso rappresenta un'occasione d'oro per ottenere la migliore protezione. Tuttavia, si deve riconoscere che ci sono differenze. Non si può essere cavalier sulla sicurezza con il modello di cloud.
.jpg)
**Vic (J.R.) Winkler**è un senior associate presso Booz Allen Hamilton Inc., fornendo consulenza tecnica principalmente Stati Uniti clienti di governo. Egli è un sicurezza informazioni pubblicate e ricercatore di sicurezza di cyber, come pure un esperto nel rilevamento intrusione/anomalia.
© 2011 Elsevier Inc. Tutti i diritti riservati. Stampato con il permesso da Syngress, un'impronta di Elsevier. Copyright 2011. “Protezione Cloud" da Vic (J.R.) Winkler. Per ulteriori informazioni su questo titolo e altri libri simili, si prega di visitare elsevierdirect.com.