Проблемы защиты данных «в облаке» — важные вопросы, к Вашим услугам (часть 2)
Запись опубликована: 19.03.2013 » 1670 Просмотров» Автор - admin » Новости

Облачное хранилищеВ первой части этой статьи, опубликованной в CIO 2/2013 рассмотрены некоторые проблемы, присущие управлению данными в облаке. Мы остановились проблем при использовании баз данных и файловых сервисов из облака, и обстоятельства, которые повышают уязвимость корпоративной ИТ-среды, где она может быть доступна из личных устройств сотрудников (BYOD). Здесь мы продолжим рассмотрение этой темы, и даже отметить некоторые важные аспекты, которые организации должны принимать во внимание, учитывая, как он доступнее для облачных сервисов.

Условия уровня

Вот три вопроса, которые организация должна дать ответ на каждый поставщик облачных ренты до этого:

>> Передача данных: Вы шифруются по умолчанию при передаче данных с сервера в облаке

>> Данные в покое: Есть зашифрованные данные в файлы по умолчанию, объемы, лент, которые хранятся на серверах, системах хранения и хранения записей службы в облаке?

>> Защита данных: если данные файлы зашифрованы и получила запрос для правоохранительных органов для расшифровки данных, то, что делает сервис из облака? Что произойдет, если у него есть клавиши [1]

В ноябре 2009 года ENISA выпустило документ под названием «Cloud Computing: преимущества, риски и рекомендации по информационной безопасности». Рекомендации содержат ряд требований и вопросов, которые клиент может установить сервис из облака, чтобы оценить их услуг с точки зрения информационной безопасности. Часть требований в отношении данных в облаке являются:

— безопасность персонала. политику и процедуры для привлечения ИКТ администраторов или других лиц с доступом к системе

— обеспечение поставок: контроль над политикой безопасности внешних подрядчиков или субподрядчиков услуг из облака;

— эксплуатационной безопасности: обеспечение услуг облака работают соответствующие меры контроля для уменьшения несанкционированное раскрытие информации в дополнение к соглашениям с ним,

— управление идентификацией и доступом: элементы управления, которые относятся как к клиенту и поставщикам облачных услуг, включая контроль доступа, авторизация, безопасное управление данными идентичности, управления ключами и шифрования, аутентификации, угрозу или кражи учетных данных;

— мобильность данных и услуг: разъяснение рисков, а также услуги передачи данных оставаться на связи и зависимости от одного поставщика [4], [11].

Другие аспекты

исследователей и заинтересованных сторон — поставщиков и потребителей вовлечены во многие аспекты безопасности данных в облаке. Вот некоторые из них:

— Lock: организация нуждается в значительных расходах для передачи данных, если прекратить отношения с текущим и переключиться на другого поставщика услуг в облаке;

— Переносимость: в связи с отсутствием стандартов и технологий несоответствие не представляется возможным передачу данных приложений и инструментов из одного облака в другое.

— Функциональная совместимость: Это возможность того, что услуги различных «облачных» провайдеров разговаривать друг с другом. Обслуживание из облака совместимы, если они совместимы или последовательного протоколов для взаимодействия с внешними системами каждого из участвующих обменный сервис из облака [14].

контроллеры и обработчики данных


«До сих пор, сервис графики облако соглашений об уровне обслуживания клиентов и не в состоянии договориться о них», сказал Махмуд Zigham и Ричард Хилл в своей книге, Cloud Computing для корпоративных архитектур [15].

организации пользователя нужно понимать юридические последствия размещения данных в середине облака:

Во-первых, только они являются владельцами всех данных в облаке сотрудников. Таким образом, пользователи (данные предметы) и их работодатели несут ответственность за безопасность данных и соответствие с этой политикой конфиденциальности и нормативно-правовой базы, затрагивающих их интересы. Поставщик не несет ответственность, если эти данные противоречат закону, и который обычно вкладывается в договорных отношениях.

В документах ЕС определены понятия данных контроллеров и данные процессоры. Первый идентифицировать организации данных владельцев по уходу за konfidintsialnostta, целостности и достоверности данных, т. е. являются ли данные процессоры, в этом случае услуга из облака, требования к обработке.

организации обязаны знать и быть в курсе характер обрабатываемых данных своих сотрудников, с приложениями в облаке и объем обработки данных. Можно использовать технологии, чтобы расширить и конфиденциальность — то есть Пользователь может применять индивидуальные обстоятельства и предпочтения доступ к своим собственным идентификационных данных. Этот подход очень похож на управление цифровыми правами [8].

реформе ЕС о защите данных предоставляет еще один способ, чтобы дать пользователям контроль над своими данными право «быть забытым» syaitano фундаментальных прав человека. Если человек не хочет, чтобы его персональные данные для обработки более конкретных данных контроллера и не правовое регулирование должно быть сохранено, данные должны быть удалены с середины контроллер [13].

местных, международных и европейских правил

Каковы различия в требованиях для хранения данных в соответствии с местными юрисдикций, международных норм и европейских стандартов для передачи данных?

Существует необходимость иметь информацию о местах, где хозяин данные и маршруты, которые проходят через различные передачи всего жизненного цикла в облака, в то время как это:

1) пользователи могут размещать свои данные поставщиков, которые сертифицированы как безопасные хостинг международные (International Harbour Сохранить сертификации), которая позволяет передавать данные из Европейской экономической зоны (Европейская экономическая зона, EEA) в Соединенных Штатах и ​​других странах .

2) можно наблюдать типовых контрактов, подготовленный Европейской комиссией (которые позволяют данные на внешний странах EEA), где нет Сохранить Harbour, хотя они не всегда обеспечивают хороший контроль в многосторонних отношений с поставщиками;

3) могут быть введены обязательные корпоративные правила в сочетании с Международным Сохранить Harbour Сертификация -. ISHS или на договорной основе моделей взяты из Европейской комиссии

«Первые шаги в облаке может быть быстрым, дешевым и легким, но как долго вы там, тем труднее двигаться вперед. Со временем накопление данных. Их следует рассматривать не только в плане того, что затраты на хранение данных генерируются, но и как много усилий и ресурсов будет стоить нам, если мы решим выйти. Количественные стоимость выхода план «, пишет в своей книге [3] Чарльз Бэбкок.

Наконец

Есть важные потребности для безопасного хранения, управления, поиска и анализа больших объемов неструктурированных данных, которые предоставляют полезную информацию для выявления закономерностей и тенденций, для улучшения качества медицинской помощи, улучшение защиты национальных приоритетов, изучение альтернативных источники энергии. Из-за критического характера данных и приложений, которые работают с ними, важно, чтобы они были защищены при работе в средах облачных вычислений. Основной проблемой безопасности для облачных вычислений модель в данном случае является то, что данные владельца не может контролировать местоположение данных. Это стоимость, чтобы оптимально использовать ресурсы заняты. Поэтому необходимо защиты данных окружающую среду от ненадежных процессов [6].

Veliyan Димитров профессионал с большим опытом работы в области информационной безопасности. Он работал преподавателем в Военной академии «D. Раковский «в 1993 году приняла участие в проекте по оцифровке Стационарная СНГ БА в качестве эксперта. Он был архитектором и дизайнером болгарской армии ASU (Национальный военный командный центр, АСУ «Странджа»). Он принимал участие в строительстве элементов информационной безопасности в Президенты Республики Болгария, НББ, NSI, Министерства здравоохранения, военно-медицинская академия, скорая помощь, таможенного регулирования, муниципального банка и других организаций. Его научные интересы в последние годы были сосредоточены на информационной безопасности в облачных вычислений

Источник:

[1] http://www.cloudswitch.com/page/is-encryption-the-solution-to-cloud-computing-security-and-privacy. Является шифрование Решение Cloud Security вычислений и конфиденциальности?, Август 2011 года.

[2] Ph.D. Роберт Энтони Т. Elsenpeter Velte, Тоби J. VELTE. Cloud Computing: практический подход. McGraw-Hill Companies., 2010. ISBN: 978-0-07-162695-8, MHID. 0-07-162695-6

[3] C. Бэбкок. Стратегии управления для революции Cloud: Как Cloud Computing трансформирует бизнес и почему вы не можете позволить себе быть оставлен позади. McGraw-Hill Companies, Incorporated, 2010.

[4] Киран Mccorry Hewlett Packard W. Дэвид Снид P.C. Адвокат Dr.Paolo Balboni, Baker & McKenzie Тилбург университета и советник. Cloud Computing. Преимущества, риски и рекомендации по информационной безопасности. Номер 09. ENISA европейской безопасности сетей и информации агентства, ноябрь 2009 года.

[5] CERT Information Services Грег Шеннон, главный научный и SEI Communication Design. 2010 сертификат отчете. В Software Engineering Institute, Carnegie Mellon University, 2010.

[6] Latifur Чан Bhavani Thuraisingham Кевин Hamlen, Мурат Cantarcioglu. Вопросы безопасности для облачных вычислений. Технические UTDCS-02-10 Отчет Depsrtsment компьютерных наук Университета штата Техас в Dalls, февраль 2010 года.

[7] Петрос Maniatis, Devdatta Akhawe, Кевин осень, Элейн Ши, Стивен McCamant, и Дон песни. Знаете ли вы, где ваши данные: Безопасные капсул данных для развертывания защиты данных. В Труды 13-й конференции USENIX на горячие темы в операционных системах, HotOS’13, стр. 22-22, Беркли, Калифорния, США, 2011 год. USENIX ассоциации.

[8] Министерство внутренних дел и по делам Королевства Нидерландов. Wiite документ для лиц, принимающих решения. В докторами. Joris тер доктор Харт л. Павел Overbeek доктора. Рауль Теллеген в сотрудничестве с Джоном Borking KPMG управления информационными рисками доктора. ING Рональд Кум, д-р. Херман ван Gils, редактор, Privacy-релизы, Технологии, голландского министерства внутренних дел и по делам королевства, декабрь 2004 года.

[9] Митхун Павла и Ashutosh Саксена. Нулевые данные remnance доказательства в облачное хранилище. Международный журнал по сетевой безопасности и его приложений (IJNSA), 2 (4), октябрь 2010 года.

[10] Рассвет песни, Элейн Ши Ян Фишер и Umesh Шанкар. Облако защиты данных для масс. Компьютеры, 45 (1) :39-45, 2012.

[11] Соединенные Штаты Government Accountability Office. Доклад для Конгресса Requesters. Информационная безопасность. федерального руководства, необходимые для решения вопросов контроля с внедрением облачных вычислений, май 2010 года.

[12] John Viega. Мифы о безопасности — Что Computer Security промышленности Безразлично т хотят вас знать. O Reilly, 2009.

[13] Комиссар ЕС по вопросам юстиции Вивиан Рединг, вице-президент Европейской комиссии. ЕС по защите данных реформа 2012 года: сделать Европу стандартной примером для современных правила защиты данных в цифровую эпоху. В инновациям конференции Digital, Life, Design, январь 2012 года.

[14] Ashwin Waknis. 2-я конференция indicthreats.com на облачные вычисления. Облако Lock-в и взаимодействия, июнь 2011 года.

[15] Ричард Хилл Zaigham Махмуд. Cloud Computing для корпоративных архитектур. Компьютерных коммуникаций и сетей. Â © Springer-Verlag London Limited, 2011. p267, ISSN 1617-7975,, ISBN 978-1-4471-2235-7, электронной ISBN 978-1-4471-2236-4, DOI 10.1007/978-1-4471-2236-4.

[16] Veliyan Димитров облачных вычислений — метаморфозы периметр безопасности, CIO 12/2012 и CIO 1/2013

Метки

Добавить комментарий