【51CTO.com快譯】關(guān)注這四項(xiàng)重要提示，確保您的云部署在系統(tǒng)審計(jì)與主動安全性等各個(gè)層面為GDPR的正式生效做好準(zhǔn)備。

GDPR即將在本月晚些時(shí)候正式生效，這意味著滿足安全性與合規(guī)性將成為一切包含有歐盟公民個(gè)人數(shù)據(jù)的云部署方案的首要任務(wù)。

[[230223]]

盡管各大領(lǐng)先供應(yīng)商已經(jīng)在全力實(shí)現(xiàn)其平臺與服務(wù)的合規(guī)性，但保障合規(guī)需要的不僅僅是技術(shù)。企業(yè)還需要投入時(shí)間與資源以裝備內(nèi)部云團(tuán)隊(duì)，以正確有效的方式設(shè)計(jì)符合您業(yè)務(wù)需求的安全體系，最終構(gòu)建起具備可審計(jì)性與可追蹤性的云解決方案。下面，我們將一同了解實(shí)現(xiàn)云部署GDPR準(zhǔn)備就緒的四個(gè)基本步驟。

1.確保您的云合作伙伴符合GDPR的合規(guī)性要求

在云環(huán)境當(dāng)中，整體安全框架將在供應(yīng)商與客戶的共同責(zé)任模式下運(yùn)行。

從基礎(chǔ)設(shè)施的角度來看，云服務(wù)供應(yīng)商負(fù)責(zé)提供安全的云環(huán)境，具體范圍涵蓋物理實(shí)體以及用于提供計(jì)算、存儲、數(shù)據(jù)庫以及網(wǎng)絡(luò)服務(wù)的底層資源。

導(dǎo)入數(shù)據(jù)并利用供應(yīng)商服務(wù)的客戶，則需要負(fù)責(zé)地利用這些資源設(shè)計(jì)并實(shí)現(xiàn)自己的安全機(jī)制——具體包括訪問控制、防火墻(包括實(shí)例層級與網(wǎng)絡(luò)層級)、加密、日志記錄以及監(jiān)控等等。

在GDPR政策之下，客戶(作為定義如何收集個(gè)人數(shù)據(jù)以及為何收集個(gè)人數(shù)據(jù)的控制方)與云服務(wù)供應(yīng)商(作為立足控制方活動負(fù)責(zé)個(gè)人數(shù)據(jù)管理、處理或者存儲的處理方)必須符合合規(guī)性要求。

截至目前，AWS、Google Cloud以及微軟Azure都已經(jīng)搶在5月25日截止日期之前公布了其合規(guī)性水平以及對GDPR要求作出的承諾。

企業(yè)應(yīng)確保自己的云合作伙伴以及任何負(fù)責(zé)處理、管理或存儲歐盟公民數(shù)據(jù)的第三方擁有適當(dāng)?shù)暮弦?guī)性與控制措施。

2.對您的個(gè)人數(shù)據(jù)系統(tǒng)進(jìn)行審計(jì)

根據(jù)GDPR的相關(guān)定義，個(gè)人身份信息(簡稱PII)包括一系列數(shù)據(jù)類型，從姓名、電子郵件地址及電話號碼到照片、基因數(shù)據(jù)乃至IP地址皆在此列。但是，您是否清楚自己究竟需要存儲多少個(gè)人數(shù)據(jù)?

GDPR的出臺代表著一大重要機(jī)遇，您可以借此對所收集數(shù)據(jù)的類型與理由進(jìn)行批判性審計(jì)。您可以利用AWS的Amazon Macie等云服務(wù)對當(dāng)前數(shù)據(jù)存儲體系內(nèi)的數(shù)據(jù)類型進(jìn)行審計(jì)與評估，并確定哪些數(shù)據(jù)會受到GDPR政策要求的影響。其中是否包含過時(shí)的數(shù)據(jù)或者您的企業(yè)所不需要的個(gè)人數(shù)據(jù)?您應(yīng)借此機(jī)會立足需要收集的數(shù)據(jù)類型對流程進(jìn)行重新定義。

3.將主動安全服務(wù)部署到位

云安全違規(guī)所涉及的并不僅只是數(shù)據(jù)丟失。根據(jù)GDPR這一全新法規(guī)，2017年年內(nèi)出現(xiàn)的S3存儲桶暴露以及其他引起數(shù)百萬個(gè)人身份信息外泄的違規(guī)行為將可能給企業(yè)帶來致命打擊。根據(jù)GDPR的規(guī)定，個(gè)人數(shù)據(jù)違規(guī)行為可能帶來相當(dāng)于企業(yè)全球年度營業(yè)額最高4%或者2000萬歐元的罰款——以高者為準(zhǔn)。

GDPR對于企業(yè)來說，正是在各層級當(dāng)中部署更廣泛、更全面的云安全與數(shù)據(jù)保護(hù)方案的良機(jī)。Amazon Web Services、微軟Azure以及Google Cloud Platform各自提供一系列服務(wù)以支持您的安全性與合規(guī)性要求。其中包括：

• 訪問: 身份與訪問管理(簡稱IAM)機(jī)制允許您為任何特定用戶、群組以及服務(wù)提供細(xì)粒度權(quán)限控制。對于任何擁有較高權(quán)限的用戶，您也應(yīng)配合使用多因素身份驗(yàn)證方案。
•  加密: 您應(yīng)盡可能利用加密機(jī)制以處理任何閑置及傳輸當(dāng)中的數(shù)據(jù)。在向云端傳輸數(shù)據(jù)、從云端獲取數(shù)據(jù)以及利用TLS(傳輸層安全)等協(xié)議進(jìn)行內(nèi)部云服務(wù)間數(shù)據(jù)移動時(shí)，請使用傳輸加密機(jī)制。領(lǐng)先的云服務(wù)供應(yīng)商皆提供對應(yīng)服務(wù)，幫助您管理數(shù)據(jù)加密工作：AWS的Key Management Service(密鑰管理服務(wù))、微軟Auzre的Key Vault以及Google Cloud Platform的云密鑰管理服務(wù)皆屬于此類。
• 監(jiān)控: 請利用監(jiān)控服務(wù)以發(fā)現(xiàn)環(huán)境變化、安全漏洞、違規(guī)資源、惡意活動、不規(guī)則趨勢或者大規(guī)模攻擊。AWS提供CloudTrail與Amazon CloudWatch等多種服務(wù)，Azure則擁有Monitor與Azure安全中心，谷歌方面的方案包括Stackdriver與Cloud Security Scanner。
• 威脅檢測: 專門用于發(fā)現(xiàn)威脅的日志數(shù)據(jù)分析服務(wù)(面向數(shù)據(jù)流、事件與DNS等)。目前此類新型“情報(bào)”服務(wù)包括AWS GuardDuty等，其能夠根據(jù)多種安全饋送來源評估日志數(shù)據(jù)，從而檢測流量以及惡意URL等當(dāng)中的可疑活動。

4.立足合規(guī)性為團(tuán)隊(duì)賦能

GDPR這類廣泛監(jiān)控法規(guī)將在技術(shù)、流程以及人員等層面給您的組織帶來影響。從技術(shù)與業(yè)務(wù)的角度來看，您的團(tuán)隊(duì)對于法規(guī)的整體理解水平及其對組織產(chǎn)生的實(shí)際影響應(yīng)當(dāng)成為合規(guī)工作當(dāng)中的關(guān)注重點(diǎn)。

• 確保您的計(jì)劃能夠滿足GDPR培訓(xùn)需求，從而幫助團(tuán)隊(duì)在云服務(wù)實(shí)現(xiàn)流程當(dāng)中具備符合合規(guī)性與安全性所提出的一般性概念與技能主/經(jīng)驗(yàn)要求。
• 著手在各個(gè)與云項(xiàng)目有所關(guān)聯(lián)的部門之內(nèi)灌輸安全最佳實(shí)踐與高透明度文化。
• 確定一切現(xiàn)有技能差距，并采取可量化、以效能為導(dǎo)向的培訓(xùn)計(jì)劃，從而保證技能的持續(xù)發(fā)展。
• 制定持續(xù)性培訓(xùn)策略，確保團(tuán)隊(duì)的知識與技能在迎來下一輪顛覆之前始終保持領(lǐng)先。此外，團(tuán)隊(duì)還應(yīng)了解最新供應(yīng)商發(fā)布內(nèi)容、隱私政策以及最佳實(shí)踐。

最佳實(shí)踐方法將成為您的云部署體系符合GDPR要求的關(guān)鍵因素，也將確保您的企業(yè)在面對任何安全性與合規(guī)性挑戰(zhàn)時(shí)作好充分準(zhǔn)備。

原文標(biāo)題：4 Best Practices to Get Your Cloud Deployments GDPR-Ready，作者：Stuart Scott

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】