云中的合规性:避免云合规陷阱

简介:
最近的一项调查发现,四分之一以上的组织计划在未来一到两年内将所有IT基础设施和工作负载转移到云端。

与此同时,在备份软件提供商Veritas公司的调查中,83%的受访者认为云计算服务提供商将会保护用户的数据。但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的合规性陷阱。

当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。

组织机构可以结合自己和供应商的基础设施采用混合云和多云服务,而这些云平台由于其具有的性能和成本优势而越来越受欢迎。而这些趋势将会促进组织的云计算应用。

云合规差距

在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。

欧盟的“通用数据保护条例”(GDPR)不仅已经生效,其他条例(如更新支付卡PCI-DSS标准)也促使组织审查其收集和处理信息的方式。

像GDPR这样的法规为个人带来了一些额外的权利和保障,例如被遗忘的权利和组织的新义务,以及强制披露数据泄露事件等。

然而,GDPR的情况并不是新生事物。相反,它是对现有数据保护规则的澄清和整合。因此,具有可靠数据保护和隐私政策的组织应该能够遵从GDPR法规。

但是,组织采用云计算的举措可能会暴露在合规性方面的差距,特别是对于主要处理个人数据的组织。GDPR法规对“个人数据”提出了更清晰的定义。这个定义比许多国家的数据保护法规定的定义要宽泛得多。

在GDPR的规定之下,组织在收集、处理或存储个人数据违规的情况很难争辩。因此,不可避免地会对使用云计算的组织产生影响。

Dentons律师事务所的技术、媒体和电信团队的合伙人Dan Burge说:“迁移到云计算并没有带来法规的豁免。”但它可能会让组织遵守这些规则更加困难。

多云也是多重挑战

组织将业务转移到云端可能会带来一系列实际的管理和监管挑战。

但是对于合规性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。运行自己的内部数据库、档案和存储系统的组织应该能够识别大部分数据的位置。他们可以指定系统和数据中心的位置,并进行IT设置,以便限制数据(例如欧盟)在特定的地理位置进行存储和处理。从其他业务信息中分离个人数据应该同样适用于良好的IT控制。

识别数据类型或是数据分类,也应该通过内部系统和合规人员来实现。但是,向外部位置迁移数据存储和IT工作负载会给组织带来新的挑战。

云计算供应商通过提供规模经济来发挥作用。要做到这一点,他们需要汇总数据。云计算提供商也建立了弹性,并且这样做将在多个位置承载数据。

详细了解存储和合规性

除非组织的规模足够大可以拥有并运营私有云系统,或者采用可能分散在几个地理上分散的私有云,否则他们需要将适合的数据交给云计算服务提供商进行存储。

这对用户的“数据主权”产生了挑战,并且用户知道数据在何时何地使用。

组织的CIO们可能不知道他们的云服务在哪些国家和地区存储数据。而云计算提供商可能不知道他们是否使用高度自动化的系统实现负载均衡,并确保业务连续性和灾难恢复。

数据的位置

组织经常忽视数据的确切位置。最安全的解决方案是使用云服务,并将数据锁定到一个位置,或者至少将数据保存在一个管辖区域内,如欧盟各国。

但首先,组织需要确定他们收集和处理的信息类型。如果其首席信息官不清楚进入云端的数据类型,任何控制或审计数据位置的尝试都会失败。

有些数据类型可以清楚地标识为敏感数据。例如,保险号码、银行账号、健康信息、地址、年龄等细节都是客户希望企业保护的所有数据类型。

但是,在GDPR法规下个人数据的定义比传统的以美国为中心的个人身份信息(PII)定义更宽。

SaaS应用程序、电子商务,甚至社交媒体都有可能在云中创建敏感数据。正如最近的媒体报道的事件,任何将在线互动与个人简介结合在一起的功能都能够快速将记录带进个人数据领域。基于SaaS的客户关系应用程序或保险承保应用程序利用来自社交媒体或其他来源的数据日志,风险会更高。

如果有某种方法通过组合数据字段追踪个人信息,即使匿名或清理记录也可以恢复。法律制定者称之为“马赛克识别”,并且可能会发生在云端运行的应用程序,而组织的CIO却没有意识到这个风险。

锁定数据

幸运的是,组织可以采取措施解决云合规问题。

首先是在特定的提供商服务中限制云计算的使用或将限制用途,而对于数据地理位置则采取健全且透明的策略。

但是,对于需要使用公共云的组织(即那些采用多供应商策略的组织),下一步是仔细审核所有数据,以确保个人数据得到识别、跟踪并实施数据主权政策。

一旦组织的CIO和数据保护人员知道他们正在处理的数据是什么样的,他们可以采取实际措施来保护数据。建议采用基于客户端的加密优化做法,因为如果云计算服务遭到黑客攻击,并具有丢失数据的风险,即使它没有解决数据主权问题,加密优化也可以降低数据丢失的风险。

组织还应该审查他们的云计算服务提供商的安全策略,其中包括SaaS平台和遵守他们自己的数据合规政策和标准,例如ISO27001。

对于混合云和多厂商云来说,尽管仍然可行,但很难实施。多云数据管理工具虽然对市场来说还相对较新,但它为IT和数据保护团队提供了对其存储数据进行更快速、更加深入监控的前景。

但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将合规责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。因此,遵守GDPR法规和违规处罚等法律责任则完全落在组织身上,而不是其云计算供应商。


原文发布时间为:2018-05-31

本文作者:Stephen Pritchard 

本文来自云栖社区合作伙伴“企业网D1Net”,了解相关信息可以关注“企业网D1Net”。

相关文章
|
云安全 存储 安全
云服务风险慨述
从用户角度来看,云计算意味着数据、计算及应用均通过网络被转移到用户掌控范围之外的云服务提供商手中,因此,用户隐私信息和云服务风险等问题随之而来。从技术层面来看,传统信息安全存在的问题在云端上同样存在,而且还因为云计算的商业模式及虛拟化等技术的引入,使得云服务面临新的服务风险问题。
1988 0
|
4月前
|
存储 安全 网络安全
网络安全中的安全审计与合规性:技术深度解析
【7月更文挑战第7天】安全审计与合规性是保障网络安全的重要环节。通过安全审计,企业可以及时发现并修复安全漏洞,提高系统的安全性;通过合规性管理,企业可以确保自身在法律法规和行业标准方面的合规性,降低违规风险。然而,在实施安全审计与合规性管理的过程中,企业也面临着技术复杂性、数据量大以及法规和合规性要求变化等挑战。因此,企业需要不断加强技术投入和人员培训,提高自身的安全审计与合规性管理水平。
|
6月前
|
监控 安全 网络安全
云端防御策略:保障云计算环境下的数据安全与完整性
【5月更文挑战第27天】 随着企业数字化转型的加速,云计算已成为支撑现代业务架构的关键平台。然而,云服务的广泛采用也带来了前所未有的网络安全挑战。本文深入探讨了云计算环境中面临的主要安全威胁,分析了云服务模型(IaaS, PaaS, SaaS)特有的风险点,并提出了一系列创新的安全策略和最佳实践,以增强数据安全性和确保信息完整性。我们重点讨论了多因素认证、加密技术、入侵检测系统、安全配置管理以及持续监控的重要性,旨在为组织在迁移和运营云基础设施时提供全面的安全指导。
|
6月前
|
监控 安全 网络安全
云端防御:云计算环境下的网络安全与数据保护策略
【5月更文挑战第17天】 随着企业逐渐将关键业务迁移到云平台,云计算服务的安全性已成为不容忽视的问题。本文旨在探讨在动态且复杂的云计算环境中,如何有效地实现网络安全防护和信息安全管理。通过分析云服务模型(IaaS、PaaS、SaaS)的安全挑战,并结合最新的加密技术、身份认证机制、入侵检测系统以及合规性监控,我们提出了一个多层次、全方位的安全框架。该框架不仅强化了传统的安全边界,还针对云计算特点优化了风险评估与应急响应流程。
|
6月前
|
监控 安全 网络安全
云端防御策略:确保云服务中的网络安全与信息安全
【5月更文挑战第1天】 在数字化转型的浪潮中,云计算已成为支撑企业运营和创新的重要基础设施。然而,随着数据和应用不断迁移到云端,传统的网络边界逐渐模糊,给网络安全和信息安全带来了新的挑战。本文将探讨云服务环境中的安全威胁,并提出相应的防御策略,以帮助企业构建强大的安全防线,确保其在享受云计算带来的便利时,也能有效地保护其数据和资产。
|
6月前
|
存储 安全 网络安全
评估云服务提供商的数据安全性
【4月更文挑战第28天】评估云服务提供商的数据安全性
80 2
|
6月前
|
存储 安全 网络安全
云端防御:在云计算时代维护网络安全与信息完整性
【4月更文挑战第15天】 随着企业和个人用户日益依赖云服务,云计算环境的安全性已成为技术发展的一个关键挑战。本文探讨了云计算平台面临的安全威胁、信息安全的关键策略以及实施有效防护措施的必要性。我们将分析数据加密、身份验证和访问控制等核心技术,并讨论如何通过综合方法保护云资源以应对不断演变的网络攻击。
109 2
|
6月前
|
监控 安全 网络安全
云端防御策略:在云计算时代维护网络安全与信息完整性
【5月更文挑战第14天】 随着企业逐渐将数据和服务迁移至云平台,云计算的便捷性和成本效益显著提升。然而,这种转变也带来了新的安全挑战。本文深入探讨了云服务中的网络安全威胁、信息安全的重要性以及相应的防御机制。我们将分析当前的安全漏洞,提出创新的安全框架,并讨论如何通过综合措施确保数据的保密性、完整性和可用性。我们的目标是为读者提供一套实用的策略,以保护他们在云端的资产不受日益复杂的网络攻击。
|
6月前
|
监控 安全 网络安全
云端防御策略:在云计算中确保数据安全与隐私
【4月更文挑战第6天】 随着企业和个人日益依赖云服务,数据安全性和隐私保护成为不容忽视的挑战。本文探讨了云计算环境中面临的主要网络安全威胁,并提出了综合性的安全措施来加强防护。我们将从云服务的基础知识出发,分析安全风险,并深入讨论如何通过加密技术、身份验证、访问控制以及持续监控等手段来提高数据的安全性。文章的目标是为读者提供一套实用的策略框架,以便在享受云计算带来的便利时,能够有效地保障信息安全。
|
6月前
|
存储 安全 网络安全
云端防御策略:在云服务中维护网络安全与信息安全
【4月更文挑战第24天】 随着企业逐渐迁移至云计算平台,云服务的安全性成为了业界关注的焦点。本文旨在探讨云计算环境中的网络安全和信息安全问题,并提出一系列防御策略。文章首先回顾了云计算的基本概念及其安全挑战,然后分析了当前面临的主要网络威胁。接着,文中详细介绍了包括加密技术、身份验证、访问控制以及入侵检测系统在内的多项安全措施。最后,文章提出了一个多层次的安全框架,以帮助组织在享受云计算带来的便利的同时,确保其数据和资源的安全。