Inhaltsverzeichnis:
- Der Speicherort der Daten in der Cloud
- Die Kontrolle von Daten in der Cloud
- Der sichere Transport von Daten in der Cloud
Video: HACKLOG 1x07 - Cos'è una VPN, tipi di VPN e quale VPN scegliere (Tutorial Anonymous Internet Linux) 2024
Hybrid-Cloud-Anbieter müssen die Sicherheit und den Datenschutz Ihrer Daten gewährleisten, sind jedoch letztlich für die Daten Ihres Unternehmens verantwortlich. Dies bedeutet, dass branchen- und behördliche Vorschriften zum Schutz persönlicher und geschäftlicher Informationen immer noch gelten, selbst wenn die Daten von einem externen Anbieter verwaltet oder gespeichert werden.
Die drei wichtigsten Bedenken bezüglich Sicherheit und Datenschutz von Daten in der Hybrid Cloud sind
-
Speicherort Ihrer Daten
-
Kontrolle Ihrer Daten
-
Sicherer Transport Ihrer Daten
Es ist wichtig anzumerken, dass einige Experten glauben, dass bestimmte Daten zu sensibel für die Daten sind. öffentliche / hybride Cloud. Dies kann stark regulierte Daten wie medizinische Informationen umfassen. Andere sind der Meinung, dass die Verbraucher geschützt werden können, wenn das richtige Maß an Transparenz und Kontrolle gewährleistet ist. Clouds, auf denen regulierte Daten gehostet werden, müssen Compliance-Anforderungen wie PCI DSS (Payment Data Security Standard), Sarbanes-Oxley und HIPAA erfüllen.
Weitere Informationen zur Sicherheit in der Cloud finden Sie in der Cloud Security Alliance.
Der Speicherort der Daten in der Cloud
Nachdem die Daten in die Cloud übertragen wurden, haben Sie möglicherweise keine Kontrolle darüber, wo sie gespeichert sind oder wie sie verwendet werden. Mit dieser Situation sind zahlreiche Probleme verbunden:
-
Spezifische Ländergesetze: Sicherheits- und Regulierungsgesetze für Daten können sich in den verschiedenen geografischen Regionen unterscheiden. Zum Beispiel kann der gesetzliche Schutz Ihres Landes nicht zutreffen, wenn Ihre Daten außerhalb davon liegen. Eine fremde Regierung kann möglicherweise Zugriff auf Ihre Daten erlangen oder Sie können die vollständige Kontrolle über Ihre Daten behalten, wenn Sie sie benötigen.
-
Datentransfer über Ländergrenzen hinweg: Ein globales Unternehmen mit Tochtergesellschaften oder Partnern (oder Kunden in anderen Ländern) in anderen Ländern könnte aufgrund der lokalen Gesetze über die grenzüberschreitende Datenübertragung besorgt sein.. Die Virtualisierung macht dies zu einem besonders schwierigen Problem, da der Cloud-Anbieter möglicherweise auch nicht weiß, wo sich die Daten gerade befinden.
-
Sekundäre Verwendung von Daten: In öffentlichen Cloud-Situationen können Ihre Daten oder Metadaten anfällig für alternative oder sekundäre Nutzung durch den Cloud-Dienstanbieter sein. Ohne angemessene Kontrollen oder Service Level Agreements können Ihre Daten zu Marketingzwecken verwendet werden. Es könnte mit Daten von anderen Organisationen für solche alternativen Verwendungen zusammengeführt werden.
Die Kontrolle von Daten in der Cloud
Sie haben den Begriff CIA Triad vielleicht gehört oder auch nicht.Nein, hier geht es nicht um verdeckte Operationen. CIA steht für Vertraulichkeit , Integrität und Verfügbarkeit . Diese drei Attribute sind in der Welt der Audits und Managementkontrollen schon lange bekannt. Sie sind aus folgenden Gründen für Daten in der Cloud-Umgebung kritisch:
-
Vertraulichkeit: Nur autorisierte Parteien mit den entsprechenden Berechtigungen können auf bestimmte Daten zugreifen. das heißt, es gibt keinen Diebstahl der Daten.
-
Integrität: Die Daten sind korrekt und keine schädliche Software (oder Person) hat sie verändert. das heißt, es gibt keine Manipulation an den Daten.
-
Verfügbarkeit: Netzwerkressourcen stehen autorisierten Benutzern zur Verfügung.
Diese drei Attribute stehen in direktem Zusammenhang mit der Steuerung von Daten. Steuerelemente enthalten die Governance-Richtlinien, die eingerichtet wurden, um sicherzustellen, dass Daten vertrauenswürdig sind. Die Integrität, Verlässlichkeit und Vertraulichkeit Ihrer Daten muss über jeden Zweifel erhaben sein. Dies gilt auch für Cloud-Anbieter.
Sie müssen verstehen, welche Kontrollstufen von Ihrem Cloud-Anbieter verwaltet werden, und überlegen, wie diese Kontrollen überprüft werden können.
Hier finden Sie eine Auswahl verschiedener Arten von Steuerungen, die die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten sicherstellen sollen:
-
Steuerelemente für die Eingabevalidierung , um sicherzustellen, dass alle in ein System oder eine Anwendung eingegebenen Daten vollständig und genau sind. und vernünftig.
-
Steuerelemente für die Ausgabeabstimmung , um sicherzustellen, dass die Daten von Eingabe zu Ausgabe abgeglichen werden können.
-
Verarbeitung von steuert, um sicherzustellen, dass Daten in einer Anwendung vollständig und genau verarbeitet werden.
-
Zugreifen auf Steuerelemente, um sicherzustellen, dass nur diejenigen, die zum Zugriff auf die Daten berechtigt sind, dies tun können. Sensible Daten müssen auch beim Speichern und Übertragen geschützt werden. Die Verschlüsselung kann dabei helfen.
-
Die erneute Identifizierung (der Prozess, bei dem anonymisierte personenbezogene Daten mit ihrem wahren Eigentümer abgeglichen werden) steuert, um sicherzustellen, dass Codes an einem separaten Ort aufbewahrt werden, um unbefugten Zugriff auf Informationen zur erneuten Identifizierung zu verhindern.
-
Änderungsverwaltung steuert, um sicherzustellen, dass Daten nicht ohne ordnungsgemäße Autorisierung geändert werden können.
-
Datenvernichtung stellt sicher, dass Daten, die dauerhaft gelöscht werden, von überall gelöscht werden - einschließlich aller Backup- und redundanten Speicherstandorte.
Das Konzept der Steuerelemente in der Cloud ist so wichtig, dass die Cloud Security Alliance eine Liste mit über 100 Steuerelementen namens Cloud Controls Matrix (CCM) zusammengestellt hat, um Cloud-Anbieter anzuleiten und potenziellen Cloud-Kunden bei der Bewertung des Gesamtrisikos zu unterstützen. der Provider.
Ihr Unternehmen muss konsistente Regeln und Richtlinien für die Erstellung, Erfassung, Verwaltung, Übertragung, den Zugriff, die Speicherung und das Löschen vertraulicher und geschäftskritischer Daten entwickeln und veröffentlichen. Verwenden Sie Techniken wie Verschlüsselung und Tokenisierung, um die Gefährdung durch Datendiebstahl und Missbrauch zu verringern.
Der sichere Transport von Daten in der Cloud
Sie haben sich entschieden, einige Ihrer Daten in die Cloud zu verschieben. Beachten Sie beim Datentransport zwei Dinge:
-
Stellen Sie sicher, dass niemand Ihre Daten abfangen kann, wenn sie sich von Punkt A zu Punkt B in der Cloud bewegen.
-
Stellen Sie sicher, dass keine Daten (böswillig oder anderweitig) aus einem beliebigen Speicher in der Cloud verloren gehen.
In der Hybrid-Cloud kann die Reise von Punkt A nach Punkt B auf verschiedene Arten erfolgen: in einer Cloud-Umgebung über das öffentliche Internet zwischen einem Unternehmen und einem Cloud-Anbieter oder sogar zwischen Clouds.
Der Sicherheitsprozess kann das Trennen Ihrer Daten von den Daten anderer Unternehmen einschließen und diese dann mit einer zugelassenen Methode verschlüsseln. Darüber hinaus möchten Sie möglicherweise die Sicherheit älterer Daten sicherstellen, die bei einem Cloud-Anbieter verbleiben, nachdem Sie ihn nicht mehr benötigen.
Ein virtuelles privates Netzwerk (VPN) ist eine Möglichkeit, die Sicherheit von Daten während des Transports in einer Cloud-Umgebung zu verwalten. Ein VPN macht das öffentliche Netzwerk im Wesentlichen zu Ihrem eigenen privaten Netzwerk, anstatt eine dedizierte Verbindung zu verwenden. Ein gut konzipiertes VPN muss zwei Dinge enthalten:
-
Eine Firewall , die als Barriere zwischen dem öffentlichen Internet und jedem privaten Netzwerk
-
Verschlüsselung dient, um Ihre sensiblen Daten vor Hackern zu schützen. Nur der Computer, an den Sie ihn senden, sollte den Schlüssel zur Dekodierung der Daten haben.
Neben dem Transport gibt es in einer hybriden Welt auch Berührungspunkte zwischen Ihren Daten und der Cloud. Daher ist es wichtig, sich mit der Speicherung und dem Abruf dieser Daten zu befassen.
