Il Cloud Computing: Valutazione dei rischi per il cloud

Una valutazione corretta della tolleranza aziendale ai rischi è essenziale prima di adottare una piattaforma di cloud computing.

Vic Winkler

Adattato da "Securing the Cloud", edito da Syngress, un'impronta di Elsevier (2011)

È sicuro usare una nube pubblica? Questa è la domanda prevalente su cloud computing. La risposta completa, però, dipende da una chiara comprensione del livello dell'organizzazione di accettazione del rischio. La comprensione di quanto rischio si può tollerare dipende da valutare le vostre esigenze di sicurezza e come valore il patrimonio informativo come dati, applicazioni e processi.

Solo quando compreso appieno questi problemi può fare una decisione informata sulla quale distribuzione modelli e modelli di servizio di consegna sono appropriate per le vostre esigenze e la tolleranza al rischio. Identificare il vostro patrimonio informativo è importante prima si adotta un modello pubblico o ibrida. Sia scelta coinvolgerà almeno un certo grado di controllo cedere su come tali informazioni verranno protetti e dove potrebbe risiedere (posizione/giurisdizione). C'è aumentato controllo organizzativa per un cloud privato internamente ospitati e gestiti internamente contro altre combinazioni.

E non dimenticate che la somma totale del vostro patrimonio informativo non si limita a informazioni o dati. Le vostre applicazioni e processi possono essere facilmente come riservate o proprietarie come le tue informazioni. In molti regni come intelligenza e finanza, algoritmi o programmi che si utilizzano sono spesso proprietarie e altamente segreto all'organizzazione. Loro esposizione può costituire una drammatica perdita per l'organizzazione.

Valutare il rischio

Iniziare con un'analisi del rischio breve. Si dovrebbero chiedere alle seguenti domande:

• Categorizzazione di minaccia: Che cosa può succedere a tuo patrimonio informativo?
• Impatto di minaccia: Quanto sia grave potrebbe che essere?
• Frequenza di minaccia: Quanto spesso che potrebbe accadere?
• Fattore di incertezza: Come certo sei tu nel rispondere a queste tre domande?

La questione centrale con rischio è incertezza espressa in termini di probabilità. Che cosa si vuole veramente sapere è che cosa fare su di esso (contromisure o attenuazione del rischio). Una volta che hai analizzato e affrontare i rischi, potete chiedere a diverse altre domande:

• Mitigazione: Cosa si può fare per ridurre il rischio?
• Riduzione dei costi: Che cosa implicano la riduzione dei rischi?
• Riduzione dei costi/benefici: Mitigazione è conveniente?

Per essere chiari, queste tre domande sono più retoriche per una nube pubblica rispetto per una nube private o ibrida. In una nuvola di pubblica, si ottiene ciò che si paga per. Il provider di nube è l'obbligato per rispondere a quelle tre domande. Allo stesso modo, queste domande sono anche meno rilevanti per il Software come servizio (SaaS) che sono per la piattaforma come servizio (PaaS), ma più rilevanti ancora per l'infrastruttura come servizio (IaaS).

Rischio e patrimonio informativo

La questione centrale con rischio è incertezza. Applicando tale fattore alla tua domanda, deve esaminare il patrimonio informativo un po' più in dettaglio. Identificare patrimonio informativo può essere sfuggente, soprattutto con la "creare-una volta, la copia-spesso" aspetto dei contenuti digitali.

L'organizzazione tipica raramente ha sufficiente controllo sulle sue informazioni. Questo è spesso garanzia minima che non esistono no altre copie di qualsiasi dato pezzo di dati. Dal punto di vista della protezione dei dati digitali, che potrebbe essere l'aspetto peggiore. Maggior parte delle organizzazioni hanno molti altri problemi di gestione dei loro beni di informazioni, però.

Quando si sta valutando il vostro patrimonio di informazioni in movimento della nube, è necessario essere soddisfatti con il processo di categorizzare classi delle informazioni contro specifici bit di informazione. Purtroppo, qui, troppo, c'è generalmente un problema. Questo potrebbe non essere così male se i nostri sistemi informatici applicati informazioni etichettatura, ma di solito non fanno. Informazioni sulla maggior parte dei sistemi informatici di etichettatura sono basate su processi reali degli individui, avendo la necessità di sapere e la liquidazione appropriata per informazioni.

Questo è organizzativamente controllato lungo le linee della classificazione di informazioni e ulteriore manipolazione caveat (ad esempio Project X solo). I controlli appropriati sono di solito sufficienti per impedire la duplicazione digitale e destinati o non intenzionale di informazioni emorragie.

Ricordando la triade dei fattori di sicurezza (riservatezza, integrità e disponibilità), si può chiedere una serie di domande mirate intorno informazioni beni sulla falsariga di ciò che sarebbero la conseguenza essere se:

• La risorsa di informazioni è stato esposto?
• La risorsa di informazioni è stata modificata da un'entità esterna?
• La risorsa di informazioni è stata manipolata?
• L'attività di informazione è diventato disponibile?

Se queste domande sollevare preoccupazioni circa il rischio inaccettabile, si potrebbe voler affrontare il problema generale, limitando il rischio l'elaborazione una cloud privato (evitando l'introduzione del nuovo rischio). Utilizzare la nube pubblica per dati non sensibili a rischio. Adottando una cloud privato non ovviare alla necessità di controlli adeguati.

Con questo in mente, si potrebbe voler prendere in considerazione i risultati di:

• Mescolando outsourcing in una nuvola di pubblica per dati non sensibili e riservando sistemi interni per i dati sensibili, si potrebbero ottenere alcuni vantaggi di costo senza assumere nuovi rischi.
• Dove l'uso di una nube privata non porrebbe nuovi rischi per le risorse di informazioni, utilizzo di un ibrido o modello nube pubblico potrebbe.
• Il passaggio da una tradizionale modello per l'elaborazione interna a un modello di cloud privato potrebbe ridurre il rischio.

Queste sono dichiarazioni ragionevole che si muovono verso l'importanza del nostro patrimonio informativo verso modelli di distribuzione e di modelli di servizio di allineamento.

Privacy e riservatezza preoccupazioni

Di là di questi rischi per il patrimonio informativo, si potrebbe essere di elaborazione, archiviazione o trasmissione di dati che è soggetto a normative e requisiti di conformità. Quando dati rientra nella regolamentazione o restrizioni di conformità, la scelta di nube distribuzione (se privato, pubblico o ibrida) cerniere di essere convinsero che il provider è pienamente conforme. In caso contrario, si rischia di violare la privacy, regolamentare o altri requisiti legali.

Quest'obbligo per confermando la gestione sicura dei dati solitamente cade sull'inquilino o utente. Le implicazioni per mantenere la sicurezza delle informazioni sono importanti quando si tratta di privacy, affari e sicurezza nazionale.

Violazioni della privacy si verificano abbastanza frequentemente all'interno di cloud computing infrastrutture per voi di essere preoccupato per qualsiasi sistema — basato su cloud o tradizionali. Questo è particolarmente vero quando stai archiviazione, elaborazione o la trasmissione di informazioni particolarmente riservate, come finanziarie o dati sanitari.

Nel 2010, ci furono diverse esposizioni di informazioni di nube sulla privacy che si è verificato con un numero di servizi basati sul cloud, tra cui Facebook, Twitter, Inc. e Google Inc. Così, le preoccupazioni sulla privacy con il modello di nube non sono fondamentalmente nuovi.

Come un inquilino nube con obblighi legali sulla privacy, il modo in cui è gestire l'informativa sulla privacy non sta per essere diverso se si utilizza cloud o archiviazione tradizionale. Proprio come voi non avrebbe memorizzare tali informazioni su un server che mancava di controlli adeguati, è non sarebbe selezionare qualsiasi provider di nube senza verificare che soddisfano i parametri di riferimento stessi per come proteggere i dati a riposo, in trasmissione, o mentre viene elaborato.

Che è di non per dire la che vostra politica potrebbe ragionevolmente escludere qualsiasi provider esterni di gestione di tali informazioni per voi, nube incluso. E mentre ci potrebbe essere una percezione che il computer sulla scrivania è più sicuro di uno che è in una nube di pubblica, a meno che non si stanno prendendo precauzioni tecniche e procedurali insoliti con computer desktop, è più adatto a essere l'uno con la sicurezza più debole.

Dati Governance

Si deve riconoscere che la sicurezza dei dati confidenziali e del suo governo sono due temi distinti. Come parte della dovuta diligenza, avrete bisogno di comprendere appieno la governance della privacy di un provider insieme ai loro delle pratiche di sicurezza e linee guida.

Informazioni personali sono soggetto alle leggi sulla privacy. Altre classi di informazioni commerciali e nulla legati alla sicurezza nazionale è soggetto alle leggi e regolamenti molto più severe. Processi e le informazioni di sicurezza nazionale beneficiano di un corpus di forte e sviluppato di legge, di regolamento e di orientamento.

Anche se la nube è un modello relativamente nuovo, un esame ha studiato della guida disponibile dovrebbe essere ampio assolutamente limitare qualsiasi informazioni classificate da residenti in una nuvola di pubblica. L'area di probabile preoccupazione si trova con altre funzioni di governo che non elaborano dati sensibili o classificati.

Basti dire, quando si esamina la possibilità per l'utilizzo di nuvole pubbliche, ci sono molte linee distinte e separate di business dal governo nazionale fino a giurisdizioni locali. Date le dimensioni del governo e il numero di livelli e giurisdizioni, sembra come se stesso governo poteva funzionare una serie di nuvole di comunità per il suo uso esclusivo, in modo da ottenere i benefici ed evitando i problemi con la convivenza in una nuvola di pubblica.

D'altra parte, se il governo è quello di utilizzare una nube pubblica, allora tale servizio deve pienamente soddisfare gli interessi dell'inquilino e tutte le norme vigenti in materia e leggi. È possibile che un inquilino può implementare controlli di sicurezza aggiuntivi che soddisfano i requisiti legali o regolamentari, anche quando un sottostante IaaS pubblica o PaaS completamente non soddisfa tali requisiti stessi.

Tuttavia, si deve capire che la gamma di controlli aggiuntivi che possono essere aggiunti da un inquilino sono limitate e non possono superare tante lacune in alcuni servizi pubblici cloud. Mantenendo il vostro occhio sulla palla quando si tratta di sicurezza è essenziale, qualunque sia il modello nube si sceglie o qualunque adatta alle vostre esigenze organizzative.

Vic (J.R.) Winkler è un senior associate presso Booz Allen Hamilton, fornendo consulenza tecnica principalmente Stati Uniti clienti di governo. Lui è una sicurezza delle informazioni pubblicate e cyber ricercatore per la sicurezza, nonché un esperto nella rilevazione delle intrusioni/anomalie.

© 2011 Elsevier Inc. Tutti i diritti riservati. Stampato con il permesso di Syngress, un'impronta di Elsevier. Copyright 2011. "Garantire la nube" da Vic (J.R.) Winkler. Per ulteriori informazioni su questo titolo e di altri libri simili, si prega di visitare elsevierdirect.com.

Contenuti correlati

• Il Cloud Computing: Architecting una nuvola di Microsoft Private
• Nube di sicurezza: Condivisione in modo sicuro e soluzioni
• Microsoft Forefront: Accesso sicuro ai vostri servizi Cloud