云上 法律、风险与合规注意事项
云计算相关的监管合规要求和特有风险
云环境通常跨越多个司法管辖权区域,并在各国政策方面产生大量与适用监管合规相关的复杂问题,以及与数据收集和数据探查要求相关的技术问题。
相互冲突的国际法律
法律方面可能包括用户的物理位置、用户输入系统的数据类型、管理自有应用程序的组织法规、可能适用的所有监管合规要求,以及适用于IT资源所在地和数据实际存储地的司法管辖权区域的相应法律法规,相关法律法规也可能处于多个司法管辖权区域内。
云计算特有法律风险评价
在云环境中,云客户依赖于真正拥有并运营整个系统和服务的云服务提供商。从法律角度区分云环境的主要区别在于“多租户”概念,即允许云客户彼此共享相同的物理硬件和系统。这种共享使得云服务提供商不仅在合同上绑定云客户组织,而且与使用相同托管环境的所有其他组织绑定,因此云服务提供商无法简单地捕获系统并将任意数据交给调查人员或监管机构,因为云服务提供商需要确保未从其他云客户那里捕获数据或日志,避免暴露给第三方。无论组织的系统及服务托管位于何处,组织对其使用和存储的所有数据都负有法律责任。
法律框架和指导原则
由于云环境的复杂性和完全地理上不同的实现方式,云平台的所有系统和应用程序都将受到各种不同的法律和司法管控。
电子取证
电子取证(eDiscovery)是搜索、识别、收集和保护电子数据和记录的流程,最终,将在刑事或民事诉讼中使用电子取证的数据和记录。通常,在传统数据中心收集和识别流程更容易,也更简单,由于物理系统是已知的,可很容易地隔离或离线并保留数据。在云环境中,所有系统和数据都通过虚拟化实现,因此,云环境面临更多挑战和复杂性。
取证要求
取证(Forensics)采用科学和系统的流程,对数字信息和证据开展识别、收集、保留、分析和总结/报告。取证是云安全专家可使用的最强大工具和概念之一,用于确定任何应用程序或系统中安全事件的确切本质、方法和范围。而在云环境中,不仅确认系统和数据的确切物理位置更加困难和复杂,而且隔离和保留的程度也与传统的服务器模型有很大不同。
理解隐私问题
不同司法管辖权区域的隐私问题可能存在很大差异,这种变化可能与受保护的记录和信息的类型以及所需的控制措施和采取的通知方式有关。
合同PII以及受监管PII的差异
无论系统及其数据是托管在传统数据中心模型还是在云托管模型中,应用程序所有方都要对应用程序和相关服务处理或存储的所有PII 数据的安全性负责。不同司法管辖权和法律法规要求都对PII有多层次的理解,目前,主要存在两类PII,对这两类PII的方法和要求有所不同。
PII和数据隐私相关的国家特定法律
虽然许多国家都有保护和监管个人信息交换和数据隐私的法律,但不同的司法管辖权区域在要求或允许方面可能存在很大差异。以下并非所有国家和监管合规要求的详尽或完整列表;而是对主要和典型的司法管辖权区域及其各自监管合规要求的抽样说明。
机密性、完整性、可用性和隐私性之间的差异
安全性的三大核心是机密性、完整性和可用性。随着越来越多的数据和服务转移到在线服务,特别是随着移动计算和涉及敏感信息的应用程序的激增,隐私已成为第四个关键方面。这四者紧密合作,基于应用程序及其所使用数据的特定细节,某些应用程序与其他应用程序的重要性将发生变化,需要做出调整。隐私概念涉及个人对自身信息和活动的控制,而组织在数据存储中拥有的信息受机密性的约束。
隐私要求标准
标准由行业团体或监管机构建立,用于设置通用配置、期望、操作要求和定义。标准形成一个强大的跨司法管辖权区域的协作机构,允许用户和云客户基于外部和独立的标准评价服务和云服务提供商。1、ISO/IEC 27018标准2、GAPP
理解审计流程、方法论和云环境所需的调整
无论系统部署在传统数据服务器模型还是云环境,审计实践和要求都相同。监管合规要求是以一种对底层托管模型透明的方式制定的,侧重于应用程序安全和数据保护的方式。然而在云计算环境中,成功地执行审计的策略和方法各不相同。
内外部审计控制体系
内部审计可用于确保组织策略和授权得到适当执行和遵守,满足管理层的要求。内部审计也有助于衡量内部策略和程序的效率和有效性,能帮助管理层发现新方法以加强控制措施和策略的实施力度,或用于纠正所产生的额外成本和管理费用的浪费问题。内部审计对于规划环境中未来的服务扩展或升级也非常有帮助。独立的外部控制审计是必要的。外部审计将评价IT系统和策略所涉及控制措施的有效性,但不会解决与内部审计相同类型的问题,如运营效率、成本、设计或扩展方案。
审计要求的影响
在云环境中,云服务提供商的地理分布导致这种工作方式几乎无法完成。因此,在云环境中,对站点的物理访问几乎是不可能的。另一个巨大差异是云环境大量使用虚拟服务器和镜像。随着时间的推移,虚拟服务器和镜像可能发生变化,导致重复审计或后期确认都更困难。系统当前状态看起来可能与最初审计时存在很大的不同。此外,最初测试的虚拟机可能已经不存在了。
虚拟化和云环境的保障挑战
所面临的挑战是如何在无法测试整体环境的情况下执行审计并确保合规,而整体环境也可能非常不稳定。缺少对云环境内部物理环境的访问权限导致问题更复杂,云客户和代表云客户工作的审计师对底层物理环境的访问权限非常有限,甚至根本没有访问权限。
审计报告类型
行业常使用几种不同的标准化审计报告。尽管这些报告在方法和受众上有所不同,但有着相似的设计和服务于类似的目的。
审计范围限制
在实施审计活动前,组织及其审计师必须确定审计的范围,以及对审计流程(Audit Process)和测试所涵盖和接受的限制。这些信息在审计流程的初始阶段处理并在此阶段编制审计范围说明。
差距分析
差距分析(Gap Analysis)是在通过审计流程收集、测试和验证所有信息后执行的关键步骤。
审计规划
总体审计方案分为四个步骤,每个步骤都有重要且有序的组成部分,推动整体流程达到标和要求。以下是审计方案的四个步骤:定义目标、定义范围执行审计、经验教训和分析。
内部信息安全管理体系
内部信息安全管理体系(Internal Information Security Management System,ISMS)包括在组织内部建立正式计划,ISMS策略的重点是减少IT资源和数据在机密性、完整性和可用性方面的威胁和风险。ISMS 的主要目的是最大限度地降低风险,保护组织的声誉,确保业务持续和运营,以及减少因安全事故造成的潜在责任。对声誉的保护以及由此带来的更高信任度对所有系统或应用程序的用户、客户和利益相关方都适用。
内部信息安全控制系统
ISO/IEC 27001:2013标准涵盖一系列领域,这些领域建立作为协助正式风险评估计划的框架。ISO/IEC 27001:2013的领域几乎涵盖了IT运营和程序的所有领域,因此ISO/IEC27001:2013成为全球使用最广泛的标准之一。
策略
策略(Policy)以正式方式记录和阐明任何IT系统或组织希望或需要的系统和运营标准。随着云计算的大规模使用,对当前策略执行修改或制定新策略的需求变得非常急迫。由于云环境底层结构与受控和私有物理环境的运行情况相差甚远,许多组织在传统数据中心内运行的策略需要大量修改或添加。由于缺乏对资产和访问的控制权,策略需要扩充以允许云服务提供商的访问和多租户场景所需的补偿性控制措施。
利益相关方的识别和参与
对于IT系统或运营来说,正确且恰当地识别利益相关方绝对重要。有了正确的利益相关方名单,就可确保及时与相关和重要的各方适当沟通。为正确识别利益相关方,需要识别涉众方问题。最明显的是识别组织实际的支持者,如管理层。云环境中还需要包括云服务提供商,因为云服务提供商负责IT服务托管和实现的多个方面,并且拥有远超云客户有限范围的访问权、监测权和责任。
高度监管行业的特殊合规要求
任何环境或系统都有关于安全和隐私的司法要求和审计要求,有时还有报告和沟通环境的要求。特定类型的数据或系统无论所使用的物理位置或宿主模型如何,还存在与涉及的特定数据和流程相关的附加要求。在云环境中托管时,所有监管合规要求在传统数据中心同样适用,而且由于云是一种新技术,并不是所有监管合规要求都已完全更新或适应云环境。
分布式IT模型的影响应
用程序系统基于各种不同的组件和技术构建,很多时候分布在多个地理区域,依赖于Web服务和API的调用,而不是直接的网络连接、函数调用和紧密集成。因此,对可消费的服务而不是对拥有和维护的系统的依赖在快速增长,云计算的引入使得这种复杂性更明显。虽然分布式模型将构建和扩展系统比以往任何时候都更加经济和方便,但也为安全、审计和合规带来了重大变化。
理解云对企业风险管理的影响
评估云服务提供商的风险管理态势
组织在迁移到任何托管环境时,与云服务提供商共同理解和评价风险管理计划和流程至关重要。由于云客户将在云服务提供商的云环境中存储服务和数据,因此托管云服务提供商的风险管理流程和风险接受程度也将直接影响云客户的安全和风险管理计划。评估是另一个对云服务提供商而言极有价值的领域,将在很大程度上告知云客户有关云服务提供商的风险管理计划和策略类型的事项,以及允许接受或需要减轻的风险等级。
数据所有方/控制方与数据托管方/处理方之间的差异
数据所有方(Data Owner)数据所有方是负责控制数据、确定对数据开展适当控制以及使用的个体。某些情况下可能以数据管理员(Data Steward)角色监督访问请求和数据的使用,确保组织的策略得到遵守,并且访问请求得到正确批准。数据托管方(Data Custodian)数据托管方是处理和使用由数据所有方拥有或控制的数据的任何人员,数据托管方在使用数据处理业务时必须遵守策略和接受监督。
风险处理
- 制定风险管理框架
- 评估风险
- 应对风险
- 持续监测风险
不同的风险框架
有三个著名的与云环境相关的风险框架在IT行业中广泛使用,分别是ENISA、ISO/IEC31000:2018和NIST。
风险管理指标
风险几乎总是以定级和分值的形式呈现,分值平衡了成功利用的影响和发生的可能性。
风险环境评估
为充分评估云环境中的风险,需要评估多个不同级别。特定的应用程序、系统或服务是第一个组件,涉及与在传统数据中心内托管类似的分析,并在组合中添加了特定于云的方面。组织还必须根据云服务提供商的过往记录、稳定性、专注度、财务状况和未来方向执行风险评价。
了解外包和云合同设计
外包到云环境后,需要面对的合同则包含大量额外的复杂性,许多组织可能缺乏管理云合同的专业知识和经验。
业务需求
在组织考虑将系统或应用程序迁移到云环境前,必须首先确保全面了解系统当前的构建和配置方式,以及这些系统如何与其他系统关联和交互。业务需求的理解和分析将构成评价系统或应用程序是否适合云环境的基础。当前的系统或应用程序可能需要改写大量代码或配置变更,才能在云环境中正常工作,同时可能对监管合规计划和要求产生深远影响。
供应商管理
要确保考虑到的任何供应商都是稳定且信誉良好的,才可托管关键业务系统和敏感数据。
合同管理
云服务与任何服务委托或托管情况一样,都需要一套健全和结构化的合同管理方法。云环境并未简化合同管理,有些情况下,云环境可能导致合同管理变得更复杂。
履行供应商管理
从云安全专家的角度看,最好充分记录和理解使用的每项组件,并分析逐一组件的漏洞和对整个应用程序的暴露程度。云安全专家要对每个组件执行风险评估,并评估为每个连接点设计附加控制措施或实施验证的可能性,确保数据和流程安全运行,不会执行任何超出预期目的的操作。
参考文献
艾瑞咨询 中国云安全行业研究报告 2021
CSA 云安全的新技术、新趋势、新研究 2022
阿里云 阿里云安全白皮书 2019
freebuf 2019上半年云安全趋势报告
CSA云安全联盟标准 云应用安全技术规范
东兴证券 2020.9中美云安全产业对比研究,国内云安全公司空间几何?
1080
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
