数据版权管理
数据版权管理( DRM)是常规数据保护的深化应用场景,这种情 况下,除了简单和传统的安全控制措施外,还将附加控件和ACL放置到需要额外权限或条 件才能访问和使用的数据集上。
安全专家都熟悉数据版权管理(DRM)的常见含义。数字版权管理适用于保护消费者介质,如音乐、出版物、视频和电影等。这种情况下,信息版权管理(lRM)常用 于组织端以保护信息和隐私,而DRM常部署在分发端用于保护知识产权和控制分 发范围。
数据版权目标
对于信息版权管理(IRM),有几个主要概念对云安全专家至关重要。在典型环境中,访 问控制放在数据对象(如文件)上,用于确定系统上谁可读取或修改该对象(文件)。在服务器上 也可有一个或多个实例的管理权限。另外,向文件提供读取权限本身允许用户执行其他操作, 如复制、重命名、打印和发送等。在IRM中,将附加的控制层运用到一个文件上,这样就能 以更细粒度更好地控制访问方可以做什么了。通过IRM,可进一步控制和限制上面提到的所 有功能,为文档提供额外的安全和控制层,超出了常规文件系统权限所能实现的范围。IRM 也有助于将数据存储从数据消费中移出,并允许在选择托管平台和提供商时更具灵活性。
IRM还可用作数据分类和控制措施的手段。IRM控制措施和ACL可在创建数据时立即 部署。这实际上可以基于与创建流程(甚至用户)有关的任何属性,包括数据的创建位置、创 建时间和创建者。这允许从数据生命周期的最初阶段开始执行细粒度分析,并使组织能维护 非常严格的数据控制。这可有效地维护组织策略的安全基线,并可作为审计和合规流程的一 部分。
常见工具
将重点关注工具集的典型属性和功能,以及工具集可为IRM和安全提供什么能力,而不是侧重于特定的IRM软件技术或实施。
- 辑审计(Auditing)
RM技术允许对谁查看了信息执行可靠的审计,并提供证据, 说明访问方在何时和何处以何种方式访问了数据。当组织需要确保适当的受众已经 阅读了新的策略或文档,或者需要提供确凿的证据证明有权访问数据的人员已经完 成操作时,这可以极大帮助满足监管合规需求
- 有效期(Expiration)
IRM技术允许设置数据的访问有效时间。有效期特性帮助组织 设置数据的生命周期,并实施策略控制,禁止用户永远访问数据;不可像大多数系 统中的情况一样,一直将数据提供给用户。 - 策略控制
识别技术允许组织对其数据的访问和使用方式执行粒度极小的精细控 制。用于控制谁能复制、保存、打印、转发或访问数据,比传统数据安全机制提供 的功能强大得多。识别实现还使组织能在任何时候更改策略,并在必要时撤销或禁 用数据。策略控制使组织能够确保用户总是查看数据或策略的最新副本,并在新副 本可用时禁用过期的旧副本。 - 保护
随着IRM技术和控制措施的实施,受其保护的任何信息在任何时候都是安全 的。与需要对静止状态数据和传输状态数据使用不同做法和技术的系统不同,IRM 始终提供与数据集成的持久保护,而不管其当前的访问状态如何。
- 支待多种应用程序和格式大多数IRM技术支持一系列数据格式,并支持与组织内 常用的应用程序包(如电子邮件和各种办公套件)集成。使IRM系统和流程的集成变 为可能,而组织不需要对其当前日常运营实践做出重大变更。
数据留存、删除和归档策略
为保证任何数据策略有效并确保遵守法律法规要求,留存、删除和归档的概念至关重要。 虽然其他数据策略和实践侧重于数据的安全和生产使用,但这三个概念是履行监管义务的典 型概念,可以是来自认证或行业监管机构的法规要求或其他强制要求。
数据留存
数据留存(Data Retention)包括在一段时间内保存和维护数据,以及用于完成特定任务的 方法。通常情况下,数据留存要求是为了满足法规要求,并为其规定了最低时限。组织的数 据留存策略可能需要较长的时间,但监管机构的要求将作为数据留存的最低基础。数据留存 策略还提供了基于各种原因(包括法规要求、组织历史或处理以及法律电子取证要求)访问数 据时的存储方式和能力。数据留存策略如果不关注数据的访问和可用性,就会错过数据保存 的重点,因为过期数据实际上是无用的,或访问数据的成本过高。
数据留存策略不仅是针对时间和访问的要求。作为策略的一部分,还必须考虑格式和存 储方法以及保存决策(PreservationDecision)的安全性。数据留存策略所有的决策将首先由法 规要求驱动,因为这代表了组织必须履行的最基本且最低要求的法律义务。监管机构要求将 始终关注留存时间,也可能规定适用的特定方法和最低安全标准。这使组织能确定留存数据 的数据分类,并将分类映射到安全需求和方法。数据分类将基于留存所需的全部数据和数据 集的敏感度。如果将更高安全级和更有价值的数据与敏感度较低的数据结合在一起使用,则 更高和更严格的分类要求将始终适用于整个数据集。
虽然法规要求和司法政策决定了数据留存的强制时间周期,但对于保存时间超过规 定策略的数据,也需要谨慎对待。数据留存期在电子取证(eDiscoveiy)对证据保存和 搜索的要求中尤其可以发挥作用。许多组织都会声明其将数据留存一段时间,并以 此来定义其电子取证监管合规的范围。如果在数据满足司法政策要求后,没有适当 的系统来安全地删除数据,且搜索参数限制在策略要求的范围内,则可能导致电子 取证指令无法披露等后果。
数据删除
虽然数据删除(DataDeletion)似乎是云数据生命周期中的最后 一步,但从安全角度看,数 据删除与数据保护的其他阶段同等重要。当不再需要系统中的数据时,必须以安全方式移除 数据,以确保将来不再可访问或无法再恢复数据。许多情况下,法律法规和行业要求规定了 如何执行数据删除,以确保实际的数据销毁流程符合标准。
在传统数据中心环境中,可采用多种方法来销毁数据,但考虑到云基础架构设计和实现 的技术现状,传统环境的数据销毁方法无法直接用在云环境中。在传统数据中心和服务器模 型中,消磁和销毁物理介质等方法是可行的。然而,在具有共享基础架构和多租户的云环境 中,传统数据中心的方法对云客户并不适用。在大型公有云基础架构中,数据通常也会跨越 多个大型数据存储系统写入,并且几乎不太可能隔离数据存储的物理位置或曾经存在过的物 理位置,因此无法执行物理介质销毁或消磁,因为这种方法可能影响整个云环境,要确保在 删除时有一个可接受的置信度。
在云环境中,云客户可用的主要方法是覆写(Overwriting)和加密擦除(Crypto-shredding或 Erasure)技术。覆写技术是使用随机数据或空指针重写以前包含敏感或专有信息 的数据扇区的流程。大多数监管机构和行业标准要求都规定了可接受的确切覆写方法,以及 在获得与删除相关的可接受置信度前,覆写流程必须完成的次数。然而,由于前面提到的云 计算在大范围的存储中写入数据,而没有真正的方法来跟踪或定位数据,因此覆写技术并不 是一种可以在云环境中高度可靠地使用的方法,因为云客户不太可能知道覆写技术所覆盖数 据的所有物理位置。
为在云环境中彻底销毁数据,最重要和最有用的方法是加密擦除技术。这种方法通过加 密技术销毁数据,可永久销毁加密数据的密钥, 一劳永逸,以确保数据永远无法恢复
无论数据删除和脱敏处理使用哪种办法,都应在云客户和云服务提供商之间的合同中明 确定义及阐述角色、责任和程序(Procedure)。这些通常位于合同的数据销毁条款中
数据归档
尽管数据归档(DataArchive)流程会将数据从生产或易于访问的系统中删除,但这并不意 味着对数据归档的安全要求不那么严格或全面。数据归档通常涉及从生产系统中删除数据, 并将数据放置到其他系统中,用于归档数据的系统通常是较便宜的存储选项,可扩展和配置 为长期存储(通常是异地存储和从常规系统中移除)。这不仅为数据提供了更便宜和更专业的 存储而且允许优化生产系统并在其数据集中包含更少的数据,从而允许更快地搜索和访 问。为能正确实施数据归档和留存策略,需要考虑格式、技术、法规要求、测试 图3-3列出的关键概念尤为重要。 ·如何展示和存储数据? ·哪些特定的软件应用程序用于 格式 技术4个部分
格式
归档策略需要确定归档数据的格式。由于数据归档的长期性,数据格式非常重要。随着 多年来平台、软件和技术的变化,组织最终可能会遇到数据归档无法检索(取回)的状态,或 者可能必须借助外部供应商以更高的成本访问数据。随着归档数据在多种情况下存储多年, 在必要时恢复归档数据的能力成为一个非常值得考虑和关注的问题。组织必须确保长期存储 的数据有至少一种恢复手段 但随着时间推移和技术变化,供应商可能退出数据归档业务或 放弃现有归档产品线,这可能会将情况变得更为复杂。
技术
除数据留存策略和数据格式决策外,数据归档将依赖于特定技术或标准来维护和存储数 据。这通常是在备份系统中,并涉及磁带系统和异地存储。大多数情况下,组织通过周期性 运转的自动化功能,传输达到一定规模或时间要求的数据,并将归档数据从生产系统转到归 档系统中。这可能涵盖或不涵盖诸如数据集的加密和压缩的其他操作,或者在全局层面对介 质本身(而不是针对特定的数据集和文件)执行加密和压缩。正如前面提到的格式问题,实际 上,归档技术最重要的方面是多年来对系统的维护。许多供应商定期更换产品,甚至随着时 间的推移逐步淘汰旧系统或软件包。对于云安全专家而言,确保IT组织在公司策略或法规要 求的必要时间内保证恢复数据的能力是非常必要的。可通过在内部维护软件或系统以在需要 的时间内读取介质,或者组织可与外部供应商商定协议或合同,以便在必要时执行恢复。如 果不能在需要时保证恢复和读取归档的能力,组织可能面临监管处罚、声誉损失或与在短时 间内恢复数据的与合同服务相关的额外成本。
归档数据所需的技术是非常重要的。随着多年来的技术演变,组织往往忽 视了保持系统能够读取归档数据的必要性,只有在发生灾难需要恢复数据时才意识 到可读取问题,那时为时已晚。当发生这种情况时,必须在先期与外部服务商签订 合同,否则系统在意外发生后读取旧数据,成本通常会非常高昂。
法规要求
大多数法规都会规定数据归档的最短待续时间。法规通常还规定了所需的最低加密等级 或技术,甚至是要使用的特定格式、标准或技术。在司法要求下,电子取证的概念开始发挥 作用,这种情况下,可以要求数据检索来履行协助刑事或民事法律诉讼的义务。云安全专家 需要特别注意电子取证的法规要求,因为这些监管要求通常规定检索和呈现的时间段。因此, 在选择用于数据归档的技术和工具时,管理层有信心能够满足这些要求;否则,组织可能面 临处罚或罚款。
测试
虽然数据格式、技术和法规的要求构成了数据归档计划的核心,但如果没有适当的测试 来验证和审计策略和流程,组织就无法确保其程序在需要时是有效的和可用的。组织应该对 归档数据定期执行恢复流程以测试所用的流程和技术。这将确保仍可读取和处理数据格式, 并验证所使用的加密可以解密,确认密钥管理策略是健全的。测试程序应确保整个流程从头 到尾都在工作,从远程场所检索存储源开始,一直到恢复后读取和验证实际数据
法定保留
法定保留(Legal Hold)是指与法律诉讼有关的特定类型的数据归档和留存。组织和个人可 以收到关于民事或刑事诉讼的正式司法或执法请求,这些请求将概述必须留存内容的范围和 要求。可能需要具体的保存要求或格式,而且通常在诉讼程序完成之前都需要。
更多关于云的资料学习
CSA GDPR合规行为准则4.0版 2020
CSA SASE安全访问边缘白皮书-2022年
CSA 云安全的新技术、新趋势、新研究 2022
CSA 云应用安全技术规范
CSA 云计算的顶级威胁:深度分析
482
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
