Abstract:
Key words :
所有正在考慮使用云計算服務的公司都需要仔細研究有哪些法律法規可能會對云計算的數據安全和隱私產生影響。在本周于奧蘭多召開的云安全聯盟大會上,會議的重點主要集中在即將美國和歐洲境內實施的兩部重要法規上。
根據歐盟在多年出臺的總指導原則,歐盟二十多個成員國都分別制訂了自己的數據隱私法。目前,歐盟成員正在穩健而緩慢朝著制訂一個統一的數據隱私法前進。
數據隱私法專家Margaret Eisenhauer稱,由于需要得到歐洲議會的批準,因此在歐盟于今年年初公布的諸多建議性規定中,許多可能直到2016年或是更晚時候才能成為法律。
在歐洲,尤其是像德國這樣的國家,目前已經出臺了比美國更多嚴格的法規,其要求存儲個人信息的數據庫必須要在政府部門注冊,并對數據能夠被傳輸哪些地方有著明確的規定。Eisenhauer稱:“歐洲的法律將隱私保護作為了一項最基本的人權。”
對于獲得提案的歐盟法規來說,好處是歐盟國家在理論上將有一個統一的法律而不用各自出臺相關的法律。其中,“第29條工作小組意見”專門針對的是云計算的使用,其對云服務提供商和用戶提出了一長串的安全控制要求。
Eisenhauer稱,云服務提供商必須要讓他們的運作實現“透明化”,不過目前部分提供商并不愿意這么做。
法規還涉及如何擬定云計算合同。Eisenhauer稱:“在許多要求當中,服務提供商必須要說明數據將被安排在哪里處理,以及將從哪里訪問這些數據。客戶有權訪問他們的數據。”這意味著服務提供商必須要能夠向客戶展示這些數據的物理與邏輯存儲位置。
對于歐盟來說,許多理念已經成為了規范,如“被遺忘權”概念。如今用戶常常會被通過cookies跟蹤,“被遺忘權”認為個人有權互聯網中不被跟蹤。而 “默認隱私設置”概念意味著在歐洲使用的Web瀏覽器應當默認打開“不跟蹤”功能。Eisenhauer稱:“這意味著歐洲國家已經開始對‘行為定位’感到擔憂。”
Eisenhauer稱,根據一些歐洲法律的理念,目前安全產品用于發現惡意行為跡象的核心技術——深度包檢測也存儲違反歐洲法律的可能性,公司需要注意部署深度包檢測的方式。即便是通過安全與信息事件管理(SIEM)監管員工使用網絡,也不符合歐洲的數據隱私理念。
被提議的歐盟數據隱私法規要求服務提供商應當迅速向當地政府、數據隱私監管部門和受到影響的個人報告數據泄露事件。法規還將對未能遵守規定的公司進行處罰,處罰金額至少占公司全球營收的2%。
不過,Eisenhauer補充稱,歐洲負責數據隱私的政府監管部門鼓勵云服務提供商與客戶就出現的任何問題進行直接溝通。他們希望解決問題,而不是單純地進行處罰。
包括作為云安全聯盟(CSA)成員的惠普公司在內,許多公司都在密切關注這類將會對云服務產生影響的監管要求。
惠普企業安全解決方案部門全球技術官Andrzej Kawalec:“你將不得不對審計人員和監管制度做出回應。”這意味著整個數據中心將不再統一采用一種運營模式,而是分別有針對性的進行調整,以滿足歐洲、亞洲和北美地區的不同要求。
他稱:“比如說,在瑞士,瑞士人認為數據應當存儲在瑞士境內。在安全和數據保護方面,每個公司都需要遵守更為嚴格的要求。”不同的地區對許多理念在認知上存在著差異,如歐洲認為IP地址也是個人身份信息的一部分,但是在美國卻并不被認同。
目前美國也正在對云計算和安全進行重大的監管調整。這些調整的標志是美國政府在今年年初公布的FedRAMP項目。
FedRAMP旨在讓那些為政府部門提供服務的云服務提供商(CSP)在未來兩年內通過特殊的安全認證。咨詢公司Bright Moon Security的首席執行官Chris Simpson稱,盡管目前還沒有一家CSP通過認證,但是該項目的目的通過第三方評估確認這些CSP的云環境符合特定的安全要求。
這些評估包括云端的事件響應、高動態環境中的數字取證、多租戶環境中的威脅探測與分析、對補救措施的持續監控等。FedRAMP要求服務提供商必須做好準備,隨時向美國計算機應急響應組織(US CERT)和可能受到影響的政府部門報告各類安全事件。Simpson指出,代理服務商也應當隨時向US CERT進行報告。
如果CSP無法達到FEDRAMP的要求,那么他們將無法向美國政府部門提供服務。Simpson稱,雖然通過了FedRAMP認證的服務提供商有資格與美國政府部門簽訂服務合同,但是如果發生了安全事件或出現了數據泄露,那么他們可能將被取消資格。
此內容為AET網站原創,未經授權禁止轉載。