《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 安全標(biāo)準(zhǔn)提升為云計(jì)算帶來挑戰(zhàn)
安全標(biāo)準(zhǔn)提升為云計(jì)算帶來挑戰(zhàn)
來源:網(wǎng)界網(wǎng)
摘要: 所有正在考慮使用云計(jì)算服務(wù)的公司都需要仔細(xì)研究有哪些法律法規(guī)可能會(huì)對(duì)云計(jì)算的數(shù)據(jù)安全和隱私產(chǎn)生影響,。
Abstract:
Key words :

所有正在考慮使用云計(jì)算服務(wù)的公司都需要仔細(xì)研究有哪些法律法規(guī)可能會(huì)對(duì)云計(jì)算的數(shù)據(jù)安全和隱私產(chǎn)生影響。在本周于奧蘭多召開的云安全聯(lián)盟大會(huì)上,,會(huì)議的重點(diǎn)主要集中在即將美國和歐洲境內(nèi)實(shí)施的兩部重要法規(guī)上,。

根據(jù)歐盟在多年出臺(tái)的總指導(dǎo)原則,,歐盟二十多個(gè)成員國都分別制訂了自己的數(shù)據(jù)隱私法。目前,,歐盟成員正在穩(wěn)健而緩慢朝著制訂一個(gè)統(tǒng)一的數(shù)據(jù)隱私法前進(jìn),。
數(shù)據(jù)隱私法專家Margaret Eisenhauer稱,由于需要得到歐洲議會(huì)的批準(zhǔn),,因此在歐盟于今年年初公布的諸多建議性規(guī)定中,,許多可能直到2016年或是更晚時(shí)候才能成為法律。
在歐洲,,尤其是像德國這樣的國家,,目前已經(jīng)出臺(tái)了比美國更多嚴(yán)格的法規(guī),其要求存儲(chǔ)個(gè)人信息的數(shù)據(jù)庫必須要在政府部門注冊(cè),,并對(duì)數(shù)據(jù)能夠被傳輸哪些地方有著明確的規(guī)定,。Eisenhauer稱:“歐洲的法律將隱私保護(hù)作為了一項(xiàng)最基本的人權(quán)。”
對(duì)于獲得提案的歐盟法規(guī)來說,,好處是歐盟國家在理論上將有一個(gè)統(tǒng)一的法律而不用各自出臺(tái)相關(guān)的法律,。其中,“第29條工作小組意見”專門針對(duì)的是云計(jì)算的使用,,其對(duì)云服務(wù)提供商和用戶提出了一長串的安全控制要求,。
Eisenhauer稱,云服務(wù)提供商必須要讓他們的運(yùn)作實(shí)現(xiàn)“透明化”,,不過目前部分提供商并不愿意這么做,。
法規(guī)還涉及如何擬定云計(jì)算合同。Eisenhauer稱:“在許多要求當(dāng)中,,服務(wù)提供商必須要說明數(shù)據(jù)將被安排在哪里處理,,以及將從哪里訪問這些數(shù)據(jù)??蛻粲袡?quán)訪問他們的數(shù)據(jù),。”這意味著服務(wù)提供商必須要能夠向客戶展示這些數(shù)據(jù)的物理與邏輯存儲(chǔ)位置。
對(duì)于歐盟來說,,許多理念已經(jīng)成為了規(guī)范,,如“被遺忘權(quán)”概念。如今用戶常常會(huì)被通過cookies跟蹤,,“被遺忘權(quán)”認(rèn)為個(gè)人有權(quán)互聯(lián)網(wǎng)中不被跟蹤,。而 “默認(rèn)隱私設(shè)置”概念意味著在歐洲使用的Web瀏覽器應(yīng)當(dāng)默認(rèn)打開“不跟蹤”功能。Eisenhauer稱:“這意味著歐洲國家已經(jīng)開始對(duì)‘行為定位’感到擔(dān)憂,。”
Eisenhauer稱,,根據(jù)一些歐洲法律的理念,目前安全產(chǎn)品用于發(fā)現(xiàn)惡意行為跡象的核心技術(shù)——深度包檢測也存儲(chǔ)違反歐洲法律的可能性,,公司需要注意部署深度包檢測的方式,。即便是通過安全與信息事件管理(SIEM)監(jiān)管員工使用網(wǎng)絡(luò),也不符合歐洲的數(shù)據(jù)隱私理念,。
被提議的歐盟數(shù)據(jù)隱私法規(guī)要求服務(wù)提供商應(yīng)當(dāng)迅速向當(dāng)?shù)卣?、?shù)據(jù)隱私監(jiān)管部門和受到影響的個(gè)人報(bào)告數(shù)據(jù)泄露事件。法規(guī)還將對(duì)未能遵守規(guī)定的公司進(jìn)行處罰,,處罰金額至少占公司全球營收的2%,。
不過,Eisenhauer補(bǔ)充稱,,歐洲負(fù)責(zé)數(shù)據(jù)隱私的政府監(jiān)管部門鼓勵(lì)云服務(wù)提供商與客戶就出現(xiàn)的任何問題進(jìn)行直接溝通,。他們希望解決問題,而不是單純地進(jìn)行處罰,。
包括作為云安全聯(lián)盟(CSA)成員的惠普公司在內(nèi),,許多公司都在密切關(guān)注這類將會(huì)對(duì)云服務(wù)產(chǎn)生影響的監(jiān)管要求。
惠普企業(yè)安全解決方案部門全球技術(shù)官Andrzej Kawalec:“你將不得不對(duì)審計(jì)人員和監(jiān)管制度做出回應(yīng),。”這意味著整個(gè)數(shù)據(jù)中心將不再統(tǒng)一采用一種運(yùn)營模式,,而是分別有針對(duì)性的進(jìn)行調(diào)整,以滿足歐洲,、亞洲和北美地區(qū)的不同要求,。
他稱:“比如說,,在瑞士,瑞士人認(rèn)為數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在瑞士境內(nèi),。在安全和數(shù)據(jù)保護(hù)方面,,每個(gè)公司都需要遵守更為嚴(yán)格的要求。”不同的地區(qū)對(duì)許多理念在認(rèn)知上存在著差異,,如歐洲認(rèn)為IP地址也是個(gè)人身份信息的一部分,,但是在美國卻并不被認(rèn)同。
目前美國也正在對(duì)云計(jì)算和安全進(jìn)行重大的監(jiān)管調(diào)整,。這些調(diào)整的標(biāo)志是美國政府在今年年初公布的FedRAMP項(xiàng)目,。
FedRAMP旨在讓那些為政府部門提供服務(wù)的云服務(wù)提供商(CSP)在未來兩年內(nèi)通過特殊的安全認(rèn)證。咨詢公司Bright Moon Security的首席執(zhí)行官Chris Simpson稱,,盡管目前還沒有一家CSP通過認(rèn)證,,但是該項(xiàng)目的目的通過第三方評(píng)估確認(rèn)這些CSP的云環(huán)境符合特定的安全要求。
這些評(píng)估包括云端的事件響應(yīng),、高動(dòng)態(tài)環(huán)境中的數(shù)字取證,、多租戶環(huán)境中的威脅探測與分析、對(duì)補(bǔ)救措施的持續(xù)監(jiān)控等,。FedRAMP要求服務(wù)提供商必須做好準(zhǔn)備,,隨時(shí)向美國計(jì)算機(jī)應(yīng)急響應(yīng)組織(US CERT)和可能受到影響的政府部門報(bào)告各類安全事件。Simpson指出,,代理服務(wù)商也應(yīng)當(dāng)隨時(shí)向US CERT進(jìn)行報(bào)告,。
如果CSP無法達(dá)到FEDRAMP的要求,那么他們將無法向美國政府部門提供服務(wù),。Simpson稱,,雖然通過了FedRAMP認(rèn)證的服務(wù)提供商有資格與美國政府部門簽訂服務(wù)合同,但是如果發(fā)生了安全事件或出現(xiàn)了數(shù)據(jù)泄露,,那么他們可能將被取消資格,。

 
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。