首页 首页 云计算 查看内容

云中的合规性:避免云合规陷阱

木马童年 2018-10-11 18:45 17 0

  最近的一项调查发现,四分之一以上的组织计划在未来一到两年内将所有IT基础设施和工作负载转移到云端。 与此同时,在备份软件提供商Veritas公司的调查中,83%的受访者认为云计算服务提供商将会保护用户的数据。 ...

  最近的一项调查发现,四分之一以上的组织计划在未来一到两年内将所有IT基础设施和工作负载转移到云端。

与此同时,在备份软件提供商Veritas公司的调查中,83%的受访者认为云计算服务提供商将会保护用户的数据。但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的合规性陷阱。

当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。

组织机构可以结合自己和供应商的基础设施采用混合云和多云服务,而这些云平台由于其具有的性能和成本优势而越来越受欢迎。而这些趋势将会促进组织的云计算应用。

云合规差距

在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。

欧盟的“通用数据保护条例”(GDPR)不仅已经生效,其他条例(如更新支付卡PCI-DSS标准)也促使组织审查其收集和处理信息的方式。

像GDPR这样的法规为个人带来了一些额外的权利和保障,例如被遗忘的权利和组织的新义务,以及强制披露数据泄露事件等。

然而,GDPR的情况并不是新生事物。相反,它是对现有数据保护规则的澄清和整合。因此,具有可靠数据保护和隐私政策的组织应该能够遵从GDPR法规。

但是,组织采用云计算的举措可能会暴露在合规性方面的差距,特别是对于主要处理个人数据的组织。GDPR法规对“个人数据”提出了更清晰的定义。这个定义比许多国家的数据保护法规定的定义要宽泛得多。

在GDPR的规定之下,组织在收集、处理或存储个人数据违规的情况很难争辩。因此,不可避免地会对使用云计算的组织产生影响。

Dentons律师事务所的技术、媒体和电信团队的合伙人Dan Burge说:“迁移到云计算并没有带来法规的豁免。”但它可能会让组织遵守这些规则更加困难。

多云也是多重挑战

组织将业务转移到云端可能会带来一系列实际的管理和监管挑战。

但是对于合规性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。运行自己的内部数据库、档案和存储系统的组织应该能够识别大部分数据的位置。他们可以指定系统和数据中心的位置,并进行IT设置,以便限制数据(例如欧盟)在特定的地理位置进行存储和处理。从其他业务信息中分离个人数据应该同样适用于良好的IT控制。

识别数据类型或是数据分类,也应该通过内部系统和合规人员来实现。但是,向外部位置迁移数据存储和IT工作负载会给组织带来新的挑战。

云计算供应商通过提供规模经济来发挥作用。要做到这一点,他们需要汇总数据。云计算提供商也建立了弹性,并且这样做将在多个位置承载数据。

详细了解存储和合规性

除非组织的规模足够大可以拥有并运营私有云系统,或者采用可能分散在几个地理上分散的私有云,否则他们需要将适合的数据交给云计算服务提供商进行存储。

这对用户的“数据主权”产生了挑战,并且用户知道数据在何时何地使用。

组织的CIO们可能不知道他们的云服务在哪些国家和地区存储数据。而云计算提供商可能不知道他们是否使用高度自动化的系统实现负载均衡,并确保业务连续性和灾难恢复。

数据的位置

组织经常忽视数据的确切位置。最安全的解决方案是使用云服务,并将数据锁定到一个位置,或者至少将数据保存在一个管辖区域内,如欧盟各国。

但首先,组织需要确定他们收集和处理的信息类型。如果其首席信息官不清楚进入云端的数据类型,任何控制或审计数据位置的尝试都会失败。

有些数据类型可以清楚地标识为敏感数据。例如,保险号码、银行账号、健康信息、地址、年龄等细节都是客户希望企业保护的所有数据类型。

但是,在GDPR法规下个人数据的定义比传统的以美国为中心的个人身份信息(PII)定义更宽。

SaaS应用程序、电子商务,甚至社交媒体都有可能在云中创建敏感数据。正如最近的媒体报道的事件,任何将在线互动与个人简介结合在一起的功能都能够快速将记录带进个人数据领域。基于SaaS的客户关系应用程序或保险承保应用程序利用来自社交媒体或其他来源的数据日志,风险会更高。

如果有某种方法通过组合数据字段追踪个人信息,即使匿名或清理记录也可以恢复。法律制定者称之为“马赛克识别”,并且可能会发生在云端运行的应用程序,而组织的CIO却没有意识到这个风险。

锁定数据

幸运的是,组织可以采取措施解决云合规问题。

首先是在特定的提供商服务中限制云计算的使用或将限制用途,而对于数据地理位置则采取健全且透明的策略。

但是,对于需要使用公共云的组织(即那些采用多供应商策略的组织),下一步是仔细审核所有数据,以确保个人数据得到识别、跟踪并实施数据主权政策。

一旦组织的CIO和数据保护人员知道他们正在处理的数据是什么样的,他们可以采取实际措施来保护数据。建议采用基于客户端的加密优化做法,因为如果云计算服务遭到黑客攻击,并具有丢失数据的风险,即使它没有解决数据主权问题,加密优化也可以降低数据丢失的风险。

组织还应该审查他们的云计算服务提供商的安全策略,其中包括SaaS平台和遵守他们自己的数据合规政策和标准,例如ISO27001。

对于混合云和多厂商云来说,尽管仍然可行,但很难实施。多云数据管理工具虽然对市场来说还相对较新,但它为IT和数据保护团队提供了对其存储数据进行更快速、更加深入监控的前景。

但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将合规责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。因此,遵守GDPR法规和违规处罚等法律责任则完全落在组织身上,而不是其云计算供应商。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

基础设施 提供商 云计算 服务提供商 供应商 云平台
0
为您推荐
云计算管理人员面临最大的挑战,是什么?

云计算管理人员面临最大的挑战,是什么?

公共云管理工具的发展和应用至今已有一段时间,但是成本控制和管理是云计算管理人员将…...

工业4.0的未来,取决于云计算的发展,这点,你必须相信!

工业4.0的未来,取决于云计算的发展,这点

长期处于国际分工链的末端,依靠廉价的劳动力、土地、能源等低成本的支撑下,国内很多…...

公有云安全探索中寻求破题之道

公有云安全探索中寻求破题之道

也许有一天,云安全厂商和云服务供应商将说服企业的CIO们,可以放心将企业安全敏感数…...

什么是云计算技术,对云计算技术的产生、概念、原理、应用和前景又在哪里?

什么是云计算技术,对云计算技术的产生、概

在云计算环境下,用户的使用观念也会发生彻底的变化:从“购买产品”到“购买服务”转…...

RightScale:公有云和混合云将超过私有云

RightScale:公有云和混合云将超过私有云

根据RightScale发布的2017年云计算状态的调查报告显示,越来越多的公司将重点转向公有…...

中电信物联大会唱主角? 探2011苏博会

中电信物联大会唱主角? 探2011苏博会

10月20日-23日,2011年中国苏州电子博览会即将在苏州国际博览中心举行,eMEX一直秉承…...

如何在提供商和客户共担责任时管理云安全

如何在提供商和客户共担责任时管理云安全

  谁来负责云计算安全:云计算服务提供商还是客户?许多人将其视为一种共担责任的关…...

2016杭州·云栖大会:看马云畅聊计算未来

2016杭州·云栖大会:看马云畅聊计算未来

云栖大会又来啦!阿里主办的2016年云栖大会将于今天起在杭州云栖小镇召开。作为合作媒…...

美版梁孟松事件!IBM控告前资讯长违反竞业条款加入AWS

美版梁孟松事件!IBM控告前资讯长违反竞业

在台湾,过去有台积电前资深研发处长梁孟松因为违反竞业条款,加入竞争对手三星的阵营…...

持续交付DaoCloud开创容器云平台新模式

持续交付DaoCloud开创容器云平台新模式

2015年6月5日,“第七届中国云计算大会”在北京国家会议中心召开, 业界领先的容器云…...