四項更佳實踐讓您的云部署準(zhǔn)備好迎接GDPR
譯文
作者:核子可樂編譯 2018-05-24 09:00:45
云計算
大數(shù)據(jù) 關(guān)注這四項重要提示,確保您的云部署在系統(tǒng)審計與主動安全性等各個層面為GDPR的正式生效做好準(zhǔn)備��。GDPR即將在本月晚些時候正式生效�,這意味著滿足安全性與合規(guī)性將成為一切包含有歐盟公民個人數(shù)據(jù)的云部署方案的首要任務(wù)。
專注于為中小企業(yè)提供成都做網(wǎng)站����、網(wǎng)站建設(shè)服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)博樂免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都����,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動了上千多家企業(yè)的穩(wěn)健成長���,幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變���。
【51CTO.com快譯】關(guān)注這四項重要提示�,確保您的云部署在系統(tǒng)審計與主動安全性等各個層面為GDPR的正式生效做好準(zhǔn)備�。
GDPR即將在本月晚些時候正式生效,這意味著滿足安全性與合規(guī)性將成為一切包含有歐盟公民個人數(shù)據(jù)的云部署方案的首要任務(wù)���。
盡管各大領(lǐng)先供應(yīng)商已經(jīng)在全力實現(xiàn)其平臺與服務(wù)的合規(guī)性��,但保障合規(guī)需要的不僅僅是技術(shù)���。企業(yè)還需要投入時間與資源以裝備內(nèi)部云團隊,以正確有效的方式設(shè)計符合您業(yè)務(wù)需求的安全體系�,最終構(gòu)建起具備可審計性與可追蹤性的云解決方案。下面����,我們將一同了解實現(xiàn)云部署GDPR準(zhǔn)備就緒的四個基本步驟。
1.確保您的云合作伙伴符合GDPR的合規(guī)性要求
在云環(huán)境當(dāng)中�����,整體安全框架將在供應(yīng)商與客戶的共同責(zé)任模式下運行��。
從基礎(chǔ)設(shè)施的角度來看,云服務(wù)供應(yīng)商負(fù)責(zé)提供安全的云環(huán)境���,具體范圍涵蓋物理實體以及用于提供計算����、存儲�、數(shù)據(jù)庫以及網(wǎng)絡(luò)服務(wù)的底層資源�。
導(dǎo)入數(shù)據(jù)并利用供應(yīng)商服務(wù)的客戶,則需要負(fù)責(zé)地利用這些資源設(shè)計并實現(xiàn)自己的安全機制——具體包括訪問控制����、防火墻(包括實例層級與網(wǎng)絡(luò)層級)、加密����、日志記錄以及監(jiān)控等等。
在GDPR政策之下�����,客戶(作為定義如何收集個人數(shù)據(jù)以及為何收集個人數(shù)據(jù)的控制方)與云服務(wù)供應(yīng)商(作為立足控制方活動負(fù)責(zé)個人數(shù)據(jù)管理�����、處理或者存儲的處理方)必須符合合規(guī)性要求。
截至目前�����,AWS����、Google Cloud以及微軟Azure都已經(jīng)搶在5月25日截止日期之前公布了其合規(guī)性水平以及對GDPR要求作出的承諾。
企業(yè)應(yīng)確保自己的云合作伙伴以及任何負(fù)責(zé)處理�、管理或存儲歐盟公民數(shù)據(jù)的第三方擁有適當(dāng)?shù)暮弦?guī)性與控制措施。
2.對您的個人數(shù)據(jù)系統(tǒng)進行審計
根據(jù)GDPR的相關(guān)定義����,個人身份信息(簡稱PII)包括一系列數(shù)據(jù)類型,從姓名���、電子郵件地址及電話號碼到照片���、基因數(shù)據(jù)乃至IP地址皆在此列。但是����,您是否清楚自己究竟需要存儲多少個人數(shù)據(jù)?
GDPR的出臺代表著一大重要機遇,您可以借此對所收集數(shù)據(jù)的類型與理由進行批判性審計�����。您可以利用AWS的Amazon Macie等云服務(wù)對當(dāng)前數(shù)據(jù)存儲體系內(nèi)的數(shù)據(jù)類型進行審計與評估,并確定哪些數(shù)據(jù)會受到GDPR政策要求的影響�����。其中是否包含過時的數(shù)據(jù)或者您的企業(yè)所不需要的個人數(shù)據(jù)?您應(yīng)借此機會立足需要收集的數(shù)據(jù)類型對流程進行重新定義���。
3.將主動安全服務(wù)部署到位
云安全違規(guī)所涉及的并不僅只是數(shù)據(jù)丟失�。根據(jù)GDPR這一全新法規(guī)���,2017年年內(nèi)出現(xiàn)的S3存儲桶暴露以及其他引起數(shù)百萬個人身份信息外泄的違規(guī)行為將可能給企業(yè)帶來致命打擊。根據(jù)GDPR的規(guī)定����,個人數(shù)據(jù)違規(guī)行為可能帶來相當(dāng)于企業(yè)全球年度營業(yè)額最高4%或者2000萬歐元的罰款——以高者為準(zhǔn)。
GDPR對于企業(yè)來說�,正是在各層級當(dāng)中部署更廣泛、更全面的云安全與數(shù)據(jù)保護方案的良機�。Amazon Web Services、微軟Azure以及Google Cloud Platform各自提供一系列服務(wù)以支持您的安全性與合規(guī)性要求��。其中包括:
- 訪問: 身份與訪問管理(簡稱IAM)機制允許您為任何特定用戶����、群組以及服務(wù)提供細(xì)粒度權(quán)限控制�����。對于任何擁有較高權(quán)限的用戶��,您也應(yīng)配合使用多因素身份驗證方案���。
- 加密: 您應(yīng)盡可能利用加密機制以處理任何閑置及傳輸當(dāng)中的數(shù)據(jù)。在向云端傳輸數(shù)據(jù)�����、從云端獲取數(shù)據(jù)以及利用TLS(傳輸層安全)等協(xié)議進行內(nèi)部云服務(wù)間數(shù)據(jù)移動時�����,請使用傳輸加密機制����。領(lǐng)先的云服務(wù)供應(yīng)商皆提供對應(yīng)服務(wù),幫助您管理數(shù)據(jù)加密工作:AWS的Key Management Service(密鑰管理服務(wù))�����、微軟Auzre的Key Vault以及Google Cloud Platform的云密鑰管理服務(wù)皆屬于此類。
- 監(jiān)控: 請利用監(jiān)控服務(wù)以發(fā)現(xiàn)環(huán)境變化�、安全漏洞、違規(guī)資源�����、惡意活動�、不規(guī)則趨勢或者大規(guī)模攻擊。AWS提供CloudTrail與Amazon CloudWatch等多種服務(wù)�����,Azure則擁有Monitor與Azure安全中心�����,谷歌方面的方案包括Stackdriver與Cloud Security Scanner���。
- 威脅檢測: 專門用于發(fā)現(xiàn)威脅的日志數(shù)據(jù)分析服務(wù)(面向數(shù)據(jù)流、事件與DNS等)���。目前此類新型“情報”服務(wù)包括AWS GuardDuty等����,其能夠根據(jù)多種安全饋送來源評估日志數(shù)據(jù),從而檢測流量以及惡意URL等當(dāng)中的可疑活動����。
4.立足合規(guī)性為團隊賦能
GDPR這類廣泛監(jiān)控法規(guī)將在技術(shù)、流程以及人員等層面給您的組織帶來影響���。從技術(shù)與業(yè)務(wù)的角度來看��,您的團隊對于法規(guī)的整體理解水平及其對組織產(chǎn)生的實際影響應(yīng)當(dāng)成為合規(guī)工作當(dāng)中的關(guān)注重點�����。
- 確保您的計劃能夠滿足GDPR培訓(xùn)需求�,從而幫助團隊在云服務(wù)實現(xiàn)流程當(dāng)中具備符合合規(guī)性與安全性所提出的一般性概念與技能主/經(jīng)驗要求��。
- 著手在各個與云項目有所關(guān)聯(lián)的部門之內(nèi)灌輸安全最佳實踐與高透明度文化�。
- 確定一切現(xiàn)有技能差距,并采取可量化�����、以效能為導(dǎo)向的培訓(xùn)計劃�,從而保證技能的持續(xù)發(fā)展。
- 制定持續(xù)性培訓(xùn)策略,確保團隊的知識與技能在迎來下一輪顛覆之前始終保持領(lǐng)先��。此外�����,團隊還應(yīng)了解最新供應(yīng)商發(fā)布內(nèi)容�、隱私政策以及最佳實踐。
最佳實踐方法將成為您的云部署體系符合GDPR要求的關(guān)鍵因素����,也將確保您的企業(yè)在面對任何安全性與合規(guī)性挑戰(zhàn)時作好充分準(zhǔn)備。
分享標(biāo)題:四項更佳實踐讓您的云部署準(zhǔn)備好迎接GDPR
文章源于:
http://uogjgqi.cn/article/dpjcdhg.html
