Cloud computing: Riservatezza dei dati nel Cloud
Ci sono diversi passaggi si può e dovrebbe, prendere per garantire la sicurezza dei vostri dati aziendali quando si sposta nel cloud.
Vic (J.R.) Winkler
Adattato da "Securing the Cloud" (Syngress, un'impronta di Elsevier)
La questione della riservatezza dei dati è all'avanguardia della mente di tutti. Spot televisivi pubblicizzare prodotti di sicurezza e programmi spesso descrivono la violazione dei dati più recente notizie. Percezione pubblica a parte, ogni organizzazione ha l'obbligo legale di proteggere la privacy dei propri dipendenti e clienti.
Leggi proibiscono alcuni dati possano essere utilizzati per motivi secondari diverso da quello per cui è stato originariamente raccolti. Non è possibile raccogliere dati sulla salute dei vostri dipendenti, per esempio e quindi utilizzarlo per caricare i fumatori con premi assicurativi più elevati. Inoltre, voi non possono condividere alcuni dati con terze parti. Nel mondo del cloud computing, questo diventa molto più difficile, come lei ha ora un terzo partito di funzionamento e gestione dell'infrastruttura. Per sua stessa natura, che il provider avrà accesso ai tuoi dati.
Se sei raccolta e memorizzazione dei dati nella cloud ed è soggetto alle prescrizioni legali di uno o più regolamenti — per esempio, l'Health Insurance Portability e Accountability Act (HIPAA) o il Gramm-Leach-Bliley Act (GLBA) — è necessario assicurarsi che il provider cloud protegge la privacy dei dati nel modo appropriato. Nello stesso modo come dati raccolti all'interno dell'organizzazione, i dati raccolti nel cloud devono essere utilizzati solo per lo scopo per cui è stato inizialmente raccolti. Se l'individuo ha specificato che dati utilizzati per uno scopo, tale garanzia deve essere accolta.
Avvisi sulla privacy spesso specificano che gli individui possono accedere ai loro dati e l'hanno eliminato o modificato. Se i dati nell'ambiente di un provider cloud, requisiti di privacy si applicano ancora e l'impresa deve garantire che questo è consentito all'interno di un simile lasso di tempo, come se i dati sono stati memorizzati sul sito. Se l'accesso ai dati può essere compiuta solo da personale all'interno dell'impresa del cloud provider, deve essere soddisfatto può svolgere il compito come necessario.
Se hai stipulato un contratto di click-wrap, potrai essere vincolato a quello che il provider cloud ha esposto in questi termini. Anche con un contratto su misura, il provider cloud può cercare di limitare il controllo dei dati per garantire ai propri clienti un approccio unificato. Questo riduce l'overhead del cloud provider e la necessità di avere specializzato personale a portata di mano. Se il controllo completo sopra il vostro dati è una necessità, è necessario garantire questo anticipo e non piegare ai termini di un provider di cloud.
Ci sono un certo numero di fornitori di cloud che si specializzano in mercati distinti e adattare i loro servizi a tali mercati. Questo rischia di diventare più prevalente nei prossimi anni. Fornitori di cloud di nicchia anche probabile che emergeranno. Per esempio, cloud provider che offrono servizi di assistenza sanitaria sarebbe essere vincolato dalle normative pertinenti, quali HIPAA. Ci si aspetterebbe li carica per la gestione speciale e i controlli che sono necessari.
Posizione dei dati
Qualsiasi business con una presenza sul Web o individui che post su siti di social networking è la registrazione di dati su uno o più server che potrebbe effettivamente essere situati ovunque. Se pubblichi informazioni personali su Facebook o aggiornando il vostro business link su LinkedIn, questi dati verranno memorizzati da qualche parte. Come le imprese si spostano verso usando e abbracciando cloud provider, la posizione dei dati diventerà più importante a causa della riservatezza dei dati, richieste legali o regolamentari.
Le aziende globali è necessario garantire che eventuali servizi distribuiti al cloud sono utilizzati secondo le leggi e regolamenti in vigore per i dipendenti, filiali estere o di terze parti. NEGLI STATI UNITI legge sarà nettamente diverso da quello delle altre regioni, quindi anche se è i tuo dipendenti che utilizzano il servizio, è necessario essere a conoscenza delle leggi che li riguardano nel loro percorso.
Filiali in altre regioni possono avere leggi leggermente diverse per cui si dispone di account, anche se sono nella stessa zona generale. Alcune controllate estere possono avere problemi di condivisione dei dati con una sola regione, ma non con un altro. Aggiunta di un provider cloud al mix aggiunge un ulteriore livello di complessità.
La sede principale dei dati ed eventuali posizioni di backup devono essere noto per garantire queste leggi e regolamenti sono seguiti. Spesso, le posizioni di backup devono essere determinato. Amazon.com Inc, per esempio, ha grandi datacenter in Stati Uniti e in Irlanda, che potrebbe causare problemi se sono stati utilizzati come centri di backup per determinati tipi di dati.
Le leggi di protezione dei dati di Stati membri dell'Unione europea (UE), così come altre regioni, sono estremamente complesse e hanno un certo numero di requisiti definitivi. Il trasferimento di dati personali di fuori di queste regioni deve essere gestito in modo molto specifico. Per esempio, l'Unione europea richiede che il collettore di dati, o il titolare del trattamento, deve informare gli individui che i dati saranno inviati e trattati in una regione di fuori dell'UE. Il titolare del trattamento e fine processore deve anche avere contratti approvati dall'autorità di protezione dati in anticipo. Questo avrà diversi livelli di difficoltà a seconda della regione che è l'elaborazione dei dati. Gli Stati Uniti e l'UE hanno un accordo di reciprocità e Stati Uniti. destinatario ha solo ad autocertificare le procedure dei dati di registrazione con gli Stati Uniti Dipartimento del commercio.
È necessario assicurarsi che qualsiasi cloud provider utilizzi che sono fuori della vostra giurisdizione hanno misure di sicurezza adeguate sul posto. Questo include loro posizioni primarie e di backup, così come eventuali posizioni intermedie, se i dati vengono trasferiti tra giurisdizioni.
Inserendo i dati su un server di terze parti, se un provider cloud o in caso contrario, stai affidando i dati per quel terzo. È necessario per garantire una protezione adeguata per le vostre esigenze e per soddisfare tutti i requisiti normativi e giuridici. Le procedure e i controlli provider devono anche rispettare le leggi locali della regione dove si trova il server. Se tu hai stipulato un accordo con una società negli Stati Uniti, ma che ospitano i dati su un server dell'Unione europea, è probabile che dovrete rispettare le leggi dell'Unione europea se si desidera trasferire i dati dentro e fuori il sistema.
Queste leggi possono essere più onerose se il server è ospitato in alcune regioni come la Cina, dove le leggi possono consentire il governo locale accesso illimitato ai dati indipendentemente dalla sua sensibilità. Può anche essere limitata (o vietata) dalla crittografia dei dati, senza assicurare le autorità locali possono decifrare come necessario.
Mercato cloud provider è in espansione, ma ci sono ancora solo un numero limitato di giocatori che può offrire l'applicazione su larga scala e l'hosting dei dati. Questo può portare alle aziende di subappaltare in tutto o in parte l'hosting di un'altra società, eventualmente in un'altra regione. Prima di entrare in qualsiasi accordo, essere a conoscenza di eventuali subappalti ed eseguono controlli di sicurezza appropriate su questi pure.
Alcuni fornitori di cloud saranno inevitabilmente andare in bancarotta o cessare il funzionamento. Accesso ai vostri dati istantaneamente diventa un problema. A seconda di dove si trova il server, questo può richiedere di passare attraverso la giurisdizione di un'altra regione per ottenere i dati indietro, e i dati possono essere soggetti a regole di accesso completamente diverso.
Utilizzo secondario dei dati
A seconda del tipo di provider cloud con la quale contraggono, dovrete considerare se i dati sta per essere estratte dal fornitore o da altri. L'utilizzo dei vostri dati può verificarsi insaputa a voi o in virtù di un errore di configurazione da parte del provider. Basato sulla sensibilità dei vostri dati, si potrebbe desiderare assicurare il vostro contratto impedisce o almeno limita l'accesso che al provider cloud ha di utilizzare questi dati.
Questo può essere particolarmente difficile quando si entra in un accordo di click-wrap. Come tutti sappiamo, molto pochi di noi si legga la stampa fine a tutti. Ci basta cliccare la casella Accetto quando appare. Nel 2009, quando Facebook ha cambiato i termini circa la sicurezza dei dati, molta gente si lamentava. Tuttavia, la maggior parte degli utenti ha effettuato utilizzando il servizio perché hanno trovato utile. È probabile che gli utenti reagiscono allo stesso modo, che bene possa dare problemi di sicurezza.
I dati che si stanno archiviando nella nube possono essere riservate o contenere dati personali, per cui deve garantire la sicurezza. Il provider cloud è probabile avere pieno accesso ai dati di mantenere e gestire il vostro server. È necessario garantire che l'accesso non è abusato in alcun modo. Anche se un contratto può proteggere legalmente, è necessario assicurarsi che siete fiduciosi che la sicurezza nel luogo presso il provider in grado di rilevare qualsiasi accesso non autorizzato ai dati.
Ripristino d'emergenza
Non è possibile sopravvalutare l'importanza della business continuity e disaster recovery. In termini di disaster recovery, è necessario prendere in considerazione alcuni possibili scenari: un provider potrebbe uscire di business, o loro datacenter potrebbe diventare inutilizzabile. I problemi principali con il primo scenario sono ottenere i dati indietro e riassegnando le applicazioni cloud ad un altro fornitore. Deve essere pensati prima di distribuire nella cloud. Si dovrebbero proteggere anche ulteriori vostri interessi garantendo il backup dei dati regolarmente.
Set fuori qualche forma di piano quando si sposta nel cloud e rivisita quel piano su base regolare. Fattori di mercato e altre circostanze cambiano abbastanza rapidamente. Ci sono stati un certo numero di casi dove un datacenter ha subito un'interruzione catastrofica, causando una perdita o interruzione dei servizi a molti siti Web e le imprese, tra cui:
- Un incendio in un datacenter in Green Bay, Wisconsin, nel 2009 ha condotto a interruzioni per alcune ospitate siti Web fino a 10 giorni.
- Un'interruzione in Fisher Plaza (Seattle) nel luglio 2009 influenzato molti siti, tra cui Bing Travel.
- Un'esplosione in pianta il datacenter a Houston nel 2008 ha preso quasi 9.000 clienti offline per quanto un paio di giorni.
- Rackspace USA Inc. aveva un'interruzione nel suo centro di Dallas nel 2009, che durò poco meno di un'ora.
- Il datacenter principale 365 avuto interruzioni nel 2007 che ha colpito Craigslist, Yelp e altri.
- Google ha subito un datacenter rolling blackout a causa di un errore di aggiornamento software durante il febbraio del 2009, causando la perdita del servizio di posta per molti clienti.
A seconda del vostro livello di preparazione, uno qualsiasi di questi eventi potrebbe essere un mero disagio o una minaccia imminente per il vostro business. Le aziende più piccole sono più probabile di essere colpito duro, come si può avere meno esperienza e meno risorse. Un'interruzione potrebbe perturbare seriamente loro business.
Come si può vedere da questo elenco di incidenti, non è solo fisiche problemi a causa della potenza o raffreddamento fallimenti, ma anche errori di software che possono abbattere un datacenter. Hackers' attacchi denial of service contro siti Web specifici potrebbe influenzare anche il tuo sito in virtù dei problemi di larghezza di banda se il sito attaccato è ospitato nello stesso datacenter.
Violazioni della sicurezza
L'applicazione o dei dati possono essere compromessa o violati mentre ospitato nel cloud. In tal caso, verrà notificato tramite sistemi del cloud provider o altri mezzi. Si spera, non si sarebbe mai scoprire a causa di un cliente lamentandosi del furto di identità.
Devi essere chiaro circa la politica di divulgazione del tuo provider cloud e capire quanto velocemente si forniranno la violazione a voi. La maggior parte degli Stati Uniti Stati hanno leggi di divulgazione violazione di sicurezza che richiedono il proprietario dei dati notificare gli individui se i propri dati personali sono stata compromessa in alcun modo. Queste leggi richiedono che si assicurano che si sono informati tempestivamente di qualsiasi violazione, preferibilmente come definito nel contratto iniziale.
In alternativa, se si scoprono che i dati sono stati violati, potrebbe essere necessario informare il cloud provider. Questo potrebbe avere implicazioni per i suoi altri clienti. Si sarà probabilmente condividendo un ambiente con una o più imprese. A seconda dell'entità della violazione, questo può influenzare alcuni di loro. Dopo aver definito le misure in luogo del contratto e un concordate su di risposta agli incidenti piano farà in modo che entrambe le parti possono attenuare le conseguenze di una violazione.
.jpg)
Vic (J.R.) Winkler è un senior associate presso Booz Allen Hamilton Inc., fornendo consulenza tecnica principalmente Stati Uniti clienti di governo. Egli è un sicurezza informazioni pubblicate e ricercatore di sicurezza di cyber, come pure un esperto nel rilevamento intrusione/anomalia.
© 2011 Elsevier Inc. Tutti i diritti riservati. Stampato con il permesso da Syngress, un'impronta di Elsevier. Copyright 2011. "Securing the Cloud" da Vic (J.R.) Winkler. Per ulteriori informazioni su questo titolo e altri libri simili, si prega di visitare elsevierdirect.com.