Como garantir a segurança de dados e privacidade em uma nuvem híbrida
provedores de nuvem híbridas devem garantir a segurança e privacidade de seus dados, mas você é responsável por dados da sua empresa. Isto significa que indústria e do governo regulamentos criados para proteger as informações pessoais e de negócios ainda se aplicam mesmo que os dados são gerenciados ou armazenados por um fornecedor externo.
Menu
As três principais áreas de preocupação relacionadas com a segurança e privacidade de dados na nuvem híbrida são
Localização dos seus dados
Controle de seus dados
transporte seguro de seus dados
É importante notar que alguns especialistas acreditam que certos tipos de dados são muito sensível para a nuvem pública / híbrida. Isto pode incluir dados altamente regulamentados, tais como informações médicas. Outros acreditam que, se o nível adequado de transparência e controles podem ser fornecidos, os consumidores podem ser protegidos. Nuvens que os dados de host regulamentada devem atender aos requisitos de conformidade, como Cartão de Pagamento Padrão de Segurança de Dados da Indústria (PCI DSS), Sarbanes-Oxley e HIPAA.
Para mais informações sobre a segurança na nuvem, veja a Cloud Security Alliance.
A localização de dados na nuvem
Depois que os dados vai para a nuvem, você não pode ter controle sobre onde ele é armazenado ou como ele é usado. Inúmeras questões estão associados a esta situação:
leis específicas de cada país: Segurança e leis regulamentares que regem os dados podem ser diferentes em diferentes áreas geográficas. Por exemplo, a proteção legal do seu próprio país pode não se aplicar se os seus dados está localizado fora dela. Um governo estrangeiro pode ser capaz de obter acesso aos seus dados ou mantê-lo de ter total controle sobre seus dados quando você precisar dele.
Transferência de dados através das fronteiras nacionais: Uma empresa global com subsidiárias ou parceiros (ou clientes para que o assunto) em outros países podem estar preocupados com a transferência transfronteiriça de dados por causa de leis locais. Virtualização torna este um problema especialmente difícil porque o provedor de nuvem pode não saber onde os dados a qualquer momento em particular, qualquer um.
utilização secundária dos dados: Em situações de nuvem pública, seus dados ou metadados podem ser vulneráveis a usos alternativos ou secundários por parte do prestador de serviços em nuvem. Sem controles adequados ou acordos de nível de serviço no local, seus dados podem ser utilizados para fins de marketing. Pode ser mescladas com dados de outras organizações para tais usos alternativos.
O controlo de dados na nuvem
Você pode ou não pode ter ouvido o termo do CIA Triad. Não, não se trata de operações secretas. CIA significa confidencialidade, Integridade, e Disponibilidade. Estes três atributos têm sido em torno de um longo tempo no mundo da auditoria e Controles de gestão que são críticos para dados no ambiente de nuvem, pelas seguintes razões:
confidencialidade: Somente pessoas autorizadas com os privilégios apropriados pode acessar certa de dados, isto é, não há nenhum roubo dos dados.
Integridade: Dados estão corretos e nenhum software malicioso (ou pessoa) alterou ele- isto é, não há nenhuma adulteração dos dados.
Disponibilidade: Os recursos de rede estão disponíveis para usuários autorizados.
Estes três atributos estão diretamente relacionados com o controle de dados. controles incluem as políticas de governo estabelecidos no local para se certificar de que os dados podem ser confiáveis. A integridade, confiabilidade e confidencialidade dos seus dados deve ser irrepreensível. Isso vale para os provedores de nuvem também.
Você deve entender o nível dos controlos serão mantidos pelo seu provedor de nuvem e considerar como esses controles podem ser auditados.
Aqui está uma amostra de diferentes tipos de controles projetados para garantir a confidencialidade, integridade e disponibilidade dos seus dados:
validação de entrada controles para assegurar que toda a entrada de dados de qualquer sistema ou aplicação são completas, precisas e razoável.
reconciliação de saída controles para garantir que os dados podem ser conciliadas da entrada à saída.
Em processamento controles para garantir que os dados são processados completamente e com precisão em um aplicativo.
Acesso controles para garantir que somente aqueles que estão autorizados a acessar os dados podem fazê-lo. Os dados sensíveis também devem ser protegidos no armazenamento e transferência. Criptografia pode ajudar a fazer isso.
Re-identificação (O processo pelo qual anónimos dados pessoais está combinado com seu verdadeiro dono) controles para assegurar que os códigos são mantidos em um local separado para evitar o acesso não autorizado a re-identificação informações.
Mudar a gestão controla a garantir que os dados não podem ser mudados sem a autorização devida.
destruição de dados controles para garantir que, quando os dados são excluídos permanentemente, ele será excluído de todos os lugares - incluindo todos os sites de backup e armazenamento redundante.
O conceito de controles na nuvem é tão importante que a Cloud Security Alliance reuniu uma lista de mais de 100 controles chamado Cloud Controls Matrix (CCM) para orientar fornecedores de nuvem e ajudar os potenciais clientes de nuvem na avaliação do risco global do provedor.
Sua empresa precisa desenvolver e publicar um conjunto consistente de regras e políticas relativas à criação, captura, gestão, transmissão, acesso, armazenamento e eliminação de dados confidenciais e críticos para os negócios. Use técnicas, tais como criptografia e uso de token para reduzir a exposição ao roubo de dados e uso indevido.
O transporte seguro de dados na nuvem
Digamos que você decidiu mover alguns dos seus dados para a nuvem. No domínio do transporte de dados, manter duas coisas em mente:
Certifique-se de que ninguém pode interceptar seus dados como ele se move do ponto A para o ponto B na nuvem.
Certifique-se de que não há vazamentos de dados (mal intencionados ou não) de qualquer armazenamento na nuvem.
Na nuvem híbrida, a viagem do ponto A ao ponto B pode ocorrer de várias maneiras: dentro de um ambiente de nuvem, através da Internet pública entre um provedor empresarial e nuvem, ou mesmo entre nuvens.
O processo de segurança podem incluir segregando os seus dados a partir de dados de outras empresas, em seguida, criptografando-lo usando um método aprovado. Além disso, você pode querer garantir a segurança dos dados mais antigos, que permanece com um fornecedor de nuvem depois que você não precisa mais dela.
UMA rede virtual privada (VPN) é uma maneira de gerenciar a segurança de dados durante o seu transporte em um ambiente de nuvem. Uma VPN faz essencialmente a rede pública sua própria rede privada em vez de usar uma conexão dedicada. Uma VPN bem concebido precisa incorporar duas coisas:
UMA firewall para actuar como uma barreira entre a Internet pública e qualquer rede privada
Encryption para proteger seus dados sensíveis de hackers- apenas o computador que você enviá-lo para deve ter a chave para decodificar os dados
Além do transporte, em um mundo híbrido, haverá pontos de contato entre os dados e a nuvem. Portanto, é importante para lidar com o armazenamento e recuperação de dados.