云计算和外包数据安全分析及建议

本文讲的是云计算和外包数据安全分析及建议,【IT168 资讯】很多企业,要么已经配置了云计算,要么即将配置云计算。云计算是提高灵活性、减少成本的最新技术。通过提供捆绑、可升级的软件、基础设施、数据存储及通信解决方案,云计算供应商使公司节约了资金、避免了高成本IT承诺、获得了基于所需的有效系统规模,并且可迅速配置最新服务。
  一。漫步云端前需要考虑的问题
  然而,没有免费的午餐,外包云计算无法解决法律风险(伴随第三方对数据存储和传输位置的知晓而产生)这一关键问题。本文讨论的即是这一问题。在企业决定采用第三方云计算解决方案时,必须考虑到以下几点。
  首先,当然需要定义我们在讨论的是什么,因为对于“云计算”,有很多定义。最近,一位知名CIO将其定义为:由某一组织控制虚拟服务器,终端用户可通过网络访问的计算应用技术。我们将“云计算”定义为:商业软件的服务提供,通过网络来应用软件和虚拟服务器上存储的数据。云计算提供了一种商业化的企业技术:基础设施即服务,软件即服务,及平台即服务,所有这些服务提供都是在线的,并且在Web 2.0的框架之下。当第三方控制“云”的任何部分,相关的数据安全、隐私和从规问题就产生了。从某方面来看,从确定的数据线被通信方案(捆绑了来自n家公司的数据)所取代,这一问题就产生了。第三方试图充分提高虚拟化技术的效率,并将传统上企业自身拥有的功能(基础设施、系统平台和软件)商业化,与此同时,法律风险产生了。
  第三方解决方案的好处是商业软件很好地建立了起来。从利用多用户需求的第三方软件解决方案供应商,到外包基础设施供应商(投资单一用户无法实现的更快更新的技术解决方案),第三方可实现规模效益,同时将所提供功能的成本降低。然而,有收益必然有风险,以下是需要重点关注的风险问题。
  1。数据的存储和转移
  传统的外包协议中,用户可与供应商商议数据存储地点的控制情况(包括备份流程在哪里进行)。这样,用户和供应商均可了解,针对相关数据的传输法规,应提供哪种管理办法。然而,对云计算实施外包的成本效益很高,因为供应商可将数据转移到世界任何地方,也可将一个企业的数据发送到不同的地点,这取决于容量、应用情况和带宽。自由度的提高将导致处理流程不遵从全球众多与数据存储和转移相关的法规。
  历史上,外包计划中,用户和供应商之间通常谈论的风险是:用户要求供应商采用特定流程,以实现的数据转移流程合规。没有这些要求,供应商就不对用户数据的存储和转移负法律责任。随着时间的发展,供应商意识到自己应该对用户的要求做出回应,并且为了保证规模经济的持续增长,他们必须将这些需求整合进解决方案。最终,我们相信云计算供应商会将数据转移的从规组件内置于其商业化技术服务,从规的成本会由于用户规模的扩大而被平衡,同时,外包供应商在制定服务价格时将计入这一成本。
  比如,早期的云供应商允许客户通过“可用区域”控制某些特定技术的数据存储地点。因为每个国家的数据转移法规不同,因此云供应商可将数据存储在某一事先确定的地区(比如,欧洲经济区);遵从此地的数据转出法规。采用这一方法,数据可不断地从这一供应商的欧洲服务器中进行转移,而不会出现从规问题,因为数据被存储在特定的经许可的区域。
  2。数据安全
  数据安全和数据保护通常是外包计划中主要关注的问题。外包协议计划精确设定了供应商必须采用的安全管理技术。这些安全管理计划的开展是由敏感数据(个人数据或财政数据)保护规则推动的。如何采用云计算解决方案对其进行控制?思科公司的CEO说云计算兼职如同一场数据安全的噩梦,并且无法用传统方式对其进行控制。对于大多数公司,对包含敏感数据或秘密数据的应用软件实施云计算技术外包,数据安全和数据保护是最大障碍。
  有了ASP、电信传输、Service Bureau协议,云计算协议将逐渐成为单向的,且协商起来较为困难。比如,一份在线的云供应商合同是无法协商的,并且相当偏向供应商:供应商对数据安全不负任何责任;用户对数据的安全、保护和备份负全责;对所有未授权访问、使用、毁坏、删除和损失的任何数据,供应商也不负任何责任。
  因此,与云供应商签订外包合同需要更认真仔细,少包含术语和条件。用户应关注云计算解决方案是否保证了数据合规,最终,用户将依赖供应商提供的解决方案文本,并认为已确保合规(无论是直接——比如采用银行或医疗软件;还是间接,比如诠释特定的数据存储地点)。结果是,供应商没实现用户数据处理过程的合规即为服务失败,可被认为是未能遵循服务说明,需要依照合同进行赔偿。
  跟任何外包计划一样,回顾供应商的解决方案以决定对于数据访问的控制,这是一个关键步骤。这一供应商解决方案是否实现了对企业数据访问权限的限制,是否实现了对访问者的监控(这样你可知道谁在何时访问了哪些数据)?哪些规范需要加密?数据归档的频率?是否所有的应用软件和软件进行了最新的安全升级?安全水平协议是否包括这一条款:安全系统的维持情况是一个性能参数。
  3。更换供应商
  采用云计算外包服务必须考虑到的另一个风险是:在外包服务终止前确保业务连续性(business continuity)。大多数外包协议都商定了退出计划及转移服务,这包括:将某一格式的数据(可被另一供应商或企业内部解决方案利用)进行转移。特定的云服务协议不包含这些问题的处理条款。比如,在线云供应商协议允许供应商在任意时间中止协议,且没有保持数据的责任。至多,协议承诺不会在三十天内有意清除数据。你必须与供应商就终止服务的问题进行协商,内容包括:将数据转移到另一供应商或企业内部,同时你应该确保数据定期转移到备份供应商那里,以保证在灾难事件发生时业务的连续性。
  4。其他风险
  云计算解决方案的风险有很多与其他外包解决方案相同,但是这些风险很难通过协议进行转嫁。比如,外包意味着将服务水平的测量和报告任务转给供应商,依靠供应商的基础设施来发送关键性能信息。在云解决方案中,定制空间更小。相似的,除非进行精确的外包条款协商,一旦出现问题或合作关系解除,大多数供应商给用户的赔偿数额不足。而相对传统的外包协议,云合作协议所提供的谈判空间很小。但是云外包的价格却很有诱惑力。
  二。建议
  因为企业对数据的控制负有责任,因此必须确保企业的云供应商从规。以下是在实施云计算外包时,一些有用的数据保护措施:
  确定是否云计算外包适合你的应用软件。如果包含有敏感数据,则不适宜外包。
  在将数据发到云系统之前进行加密。业内专家认为这是减少潜在风险的好方法。
  控制数据访问。确保供应商限制了数据的访问者,并确保了访问者被监控。
  铭记e-discovery责任和迅速获取供应商电子记录的需求。
  遵从所有必须遵从的规则。因为你的企业必须承担所有不遵从数据保护法规而引发的问题。必须明确企业数据的存放地点,云供应商必须给你提供这一信息,这样就可以自检是否存在从规风险。如果供应商未告知你数据的存放地点,那么不该发送任何敏感数据。
  可能的情况下,控制数据的存放地点。这是确保供应商(更深层次说,对于用户同样如此)遵从数据安全法规的最好办法。限制云供应商对数据集存放地点的决定权。
  通过协议条款来要求供应商更新其保护系统,以实现与业内最佳实施策略相一致。
  制订适宜的灾难恢复和业务连续性计划。要求供应商对你的企业数据进行存档,这样在系统崩溃时仍可访问数据。
  由非云供应商的另一方对定期你企业的数据进行备份和/或存储。
  利用技术和从规审计来确保数据安全及系统的完整性。
  在协约终止时,数据传回或供应商备份的流程清晰。
  灵活地控制与外包供应商之间关系,利用服务水平来保证供应商从规。

时间: 2024-12-24 19:35:13

云计算和外包数据安全分析及建议的相关文章

[文档]赛迪顾问——关于云计算安全分析与建议

赛迪顾问--关于云计算安全分析与建议 temp_12042014221629.pdf

云计算数据外包需要重点关注的问题

云计算数据外包是个不可忽视的问题.很多企业,要么已经配置了云计算,要么即将配置云计算.云计算是提高灵活性.减少成本的最新技术.通过提供捆绑.可升级的软件.基础设施.数据存储及 通信解决方案,云计算供应商使公司节约了资金.避免了高成本IT承诺.获得了基于所需的有效系统规模,并且可迅速配置最新服务. 一.云计算数据外包需要考虑的问题 然而,没有免费的午餐,云计算数据外包无法解决法律风险(伴随第三方对数据存储和传输位置的知晓而产生)这一关键问题.本文讨论的即是这一问题.在企业决定采用第三方云计算解决方

企业大数据安全分析的四大关键要点

文章讲的是企业大数据安全分析的四大关键要点,ESG公布的一项研究表明,44%的企业认为其所采用的安全数据收集与分析机制可以被归类为"大数据"方案;另外44%的企业则认为其所采用的安全数据收集与分析机制在未来两年内将能够被归类为"大数据"方案.(备注:在此次调查中,大数据安全分析机制被定义为"安全数据集迅猛增长,总量之庞大已经很难利用现有安全分析工具进行处理".) 因此,企业很可能会在未来几年内开始尝试某些类型的大数据安全分析产品或者解决方案.也就

基于可信平台模块的外包数据安全访问方案

基于可信平台模块的外包数据安全访问方案 付东来  彭新光 杨玉丽 为了提高云计算中外包数据访问机制的安全性,该文完善了一种基于树的密钥管理方案,原方案适用于数据拥有者- 写- 用户- 读/ 写的应用场景.针对场景中的恶意用户,新机制引入了可信平台模块(Trusted Platform Module, TPM),主要解决了原方案在数据访问过程中由会话密钥.数据加/ 解密密钥以及用户权限的变更产生的问题.此外,也考虑了如何确保用户的真实性和用户计算环境的安全性问题.同时,发现了原方案中的重放攻击和类

大数据安全分析“架构”

根据ESG研究公司表示,44%的大型企业(即拥有超过1000名员工的企业) 认为其安全数据收集和分析是"大数据"应用,而另外44%认为其安全数据收集和分析将会在未来2年内成为"大数据"应用.此外,86%的企业正在收集比两年前"更多"或"略多"的安全数据.这种增长趋势非常明显,大型企业正在收集.处理和保存越来越多的数据用于分析,他们使用来自IBM.Lancope.LogRhythm.Raytheon.RSA Security和S

关于云计算合规性的四条必读建议(上)

文章讲的是关于云计算合规性的四条必读建议(上),从概念上看,云计算似乎很普通.事实上,操作部署以及许可的简单性才是"云"最诱人的资本.但问题是,深入探究后你发现要遵从"云"其实并不简单,有很多问题需要思考. 大到政府法规,例如<萨班斯·奥克斯利法案>(SOX)以及欧盟数据保护法,小到行业法规,例如支付卡行业数据安全标准(PCI DSS)以及美国健康保险携带和责任法案(HIPAA),云规则可谓无处不在.或许你已经实现了内部掌控,但在向公共云计算基础设施平台

大数据安全分析:学习Facebook的ThreatData框架

在本文中,专家Kevin Beaver将探讨企业如何学习Facebook的ThreatData框架安全分析来加强企业防御.自成立以来,Facebook一直是网络攻击的目标.他们积极抵御恶意软件和防止欺诈,并且他们在这方面的努力经常见诸报端.然而,可以很公平地说,Facebook面临的实际威胁更加严峻.当面对威胁时,知识就是力量.很多企业都 认识到威胁分析和安全分析的重要性,它们不仅可以帮助阻止当前威胁,还可以提高事件响应.最近,Facebook宣布通过其ThreatData框架进军大数据安全分析

揭秘大数据安全分析”架构”

根据ESG研究公司表示,44%的大型企业(即拥有超过1000名员工的企业)认为其安全数据收集和分析是"大数据"应用,而另外44%认为其安全数据收集和分析将会在未来2年内成为"大数据"应用.此外,86%的企业正在收集比两年前"更多"或"略多"的安全数据. 大数据安全分析"架构" 这种增长趋势非常明显,大型企业正在收集.处理和保存越来越多的数据用于分析,他们使用来自IBM.Lancope.LogRhythm.R

关于云计算合规性的四条必读建议(下)

文章讲的是关于云计算合规性的四条必读建议(下),从概念上看,云计算似乎很普通.事实上,操作部署以及许可的简单性才是"云"最诱人的资本.但问题是,深入探究后你发现要遵从"云"其实并不简单,有很多问题需要思考. 大到政府法规,例如<萨班斯·奥克斯利法案>(SOX)以及欧盟数据保护法,小到行业法规,例如支付卡行业数据安全标准(PCI DSS)以及美国健康保险携带和责任法案(HIPAA),云规则可谓无处不在.或许你已经实现了内部掌控,但在向公共云计算基础设施平台