【51CTO.com快译】关注这四项重要提示,确保您的云部署在系统审计与主动安全性等各个层面为GDPR的正式生效做好准备。
GDPR即将在本月晚些时候正式生效,这意味着满足安全性与合规性将成为一切包含有欧盟公民个人数据的云部署方案的首要任务。
尽管各大领先供应商已经在全力实现其平台与服务的合规性,但保障合规需要的不仅仅是技术。企业还需要投入时间与资源以装备内部云团队,以正确有效的方式设计符合您业务需求的安全体系,最终构建起具备可审计性与可追踪性的云解决方案。下面,我们将一同了解实现云部署GDPR准备就绪的四个基本步骤。
1.确保您的云合作伙伴符合GDPR的合规性要求
在云环境当中,整体安全框架将在供应商与客户的共同责任模式下运行。
从基础设施的角度来看,云服务供应商负责提供安全的云环境,具体范围涵盖物理实体以及用于提供计算、存储、数据库以及网络服务的底层资源。
导入数据并利用供应商服务的客户,则需要负责地利用这些资源设计并实现自己的安全机制——具体包括访问控制、防火墙(包括实例层级与网络层级)、加密、日志记录以及监控等等。
在GDPR政策之下,客户(作为定义如何收集个人数据以及为何收集个人数据的控制方)与云服务供应商(作为立足控制方活动负责个人数据管理、处理或者存储的处理方)必须符合合规性要求。
截至目前,AWS、Google Cloud以及微软Azure都已经抢在5月25日截止日期之前公布了其合规性水平以及对GDPR要求作出的承诺。
企业应确保自己的云合作伙伴以及任何负责处理、管理或存储欧盟公民数据的第三方拥有适当的合规性与控制措施。
2.对您的个人数据系统进行审计
根据GDPR的相关定义,个人身份信息(简称PII)包括一系列数据类型,从姓名、电子邮件地址及电话号码到照片、基因数据乃至IP地址皆在此列。但是,您是否清楚自己究竟需要存储多少个人数据?
GDPR的出台代表着一大重要机遇,您可以借此对所收集数据的类型与理由进行批判性审计。您可以利用AWS的Amazon Macie等云服务对当前数据存储体系内的数据类型进行审计与评估,并确定哪些数据会受到GDPR政策要求的影响。其中是否包含过时的数据或者您的企业所不需要的个人数据?您应借此机会立足需要收集的数据类型对流程进行重新定义。
3.将主动安全服务部署到位
云安全违规所涉及的并不仅只是数据丢失。根据GDPR这一全新法规,2017年年内出现的S3存储桶暴露以及其他引起数百万个人身份信息外泄的违规行为将可能给企业带来致命打击。根据GDPR的规定,个人数据违规行为可能带来相当于企业全球年度营业额最高4%或者2000万欧元的罚款——以高者为准。
GDPR对于企业来说,正是在各层级当中部署更广泛、更全面的云安全与数据保护方案的良机。Amazon Web Services、微软Azure以及Google Cloud Platform各自提供一系列服务以支持您的安全性与合规性要求。其中包括:
- 访问: 身份与访问管理(简称IAM)机制允许您为任何特定用户、群组以及服务提供细粒度权限控制。对于任何拥有较高权限的用户,您也应配合使用多因素身份验证方案。
- 加密: 您应尽可能利用加密机制以处理任何闲置及传输当中的数据。在向云端传输数据、从云端获取数据以及利用TLS(传输层安全)等协议进行内部云服务间数据移动时,请使用传输加密机制。领先的云服务供应商皆提供对应服务,帮助您管理数据加密工作:AWS的Key Management Service(密钥管理服务)、微软Auzre的Key Vault以及Google Cloud Platform的云密钥管理服务皆属于此类。
- 监控: 请利用监控服务以发现环境变化、安全漏洞、违规资源、恶意活动、不规则趋势或者大规模攻击。AWS提供CloudTrail与Amazon CloudWatch等多种服务,Azure则拥有Monitor与Azure安全中心,谷歌方面的方案包括Stackdriver与Cloud Security Scanner。
- 威胁检测: 专门用于发现威胁的日志数据分析服务(面向数据流、事件与DNS等)。目前此类新型“情报”服务包括AWS GuardDuty等,其能够根据多种安全馈送来源评估日志数据,从而检测流量以及恶意URL等当中的可疑活动。
4.立足合规性为团队赋能
GDPR这类广泛监控法规将在技术、流程以及人员等层面给您的组织带来影响。从技术与业务的角度来看,您的团队对于法规的整体理解水平及其对组织产生的实际影响应当成为合规工作当中的关注重点。
- 确保您的计划能够满足GDPR培训需求,从而帮助团队在云服务实现流程当中具备符合合规性与安全性所提出的一般性概念与技能主/经验要求。
- 着手在各个与云项目有所关联的部门之内灌输安全最佳实践与高透明度文化。
- 确定一切现有技能差距,并采取可量化、以效能为导向的培训计划,从而保证技能的持续发展。
- 制定持续性培训策略,确保团队的知识与技能在迎来下一轮颠覆之前始终保持领先。此外,团队还应了解最新供应商发布内容、隐私政策以及最佳实践。
最佳实践方法将成为您的云部署体系符合GDPR要求的关键因素,也将确保您的企业在面对任何安全性与合规性挑战时作好充分准备。
原文标题:4 Best Practices to Get Your Cloud Deployments GDPR-Ready,作者:Stuart Scott
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
