所有正在考虑使用云计算服务的公司都需要仔细研究有哪些法律法规可能会对云计算的数据安全和隐私产生影响。在本周于奥兰多召开的云安全联盟大会上,会议的重点主要集中在即将美国和欧洲境内实施的两部重要法规上。
根据欧盟在多年出台的总指导原则,欧盟二十多个成员国都分别制订了自己的数据隐私法。目前,欧盟成员正在稳健而缓慢朝着制订一个统一的数据隐私法前进。
数据隐私法专家Margaret Eisenhauer称,由于需要得到欧洲议会的批准,因此在欧盟于今年年初公布的诸多建议性规定中,许多可能直到2016年或是更晚时候才能成为法律。
在欧洲,尤其是像德国这样的国家,目前已经出台了比美国更多严格的法规,其要求存储个人信息的数据库必须要在政府部门注册,并对数据能够被传输哪些地方有着明确的规定。Eisenhauer称:“欧洲的法律将隐私保护作为了一项最基本的人权。”
对于获得提案的欧盟法规来说,好处是欧盟国家在理论上将有一个统一的法律而不用各自出台相关的法律。其中,“第29条工作小组意见”专门针对的是云计算的使用,其对云服务提供商和用户提出了一长串的安全控制要求。
Eisenhauer称,云服务提供商必须要让他们的运作实现“透明化”,不过目前部分提供商并不愿意这么做。
法规还涉及如何拟定云计算合同。Eisenhauer称:“在许多要求当中,服务提供商必须要说明数据将被安排在哪里处理,以及将从哪里访问这些数据。客户有权访问他们的数据。”这意味着服务提供商必须要能够向客户展示这些数据的物理与逻辑存储位置。
对于欧盟来说,许多理念已经成为了规范,如“被遗忘权”概念。如今用户常常会被通过cookies跟踪,“被遗忘权”认为个人有权互联网中不被跟踪。而 “默认隐私设置”概念意味着在欧洲使用的Web浏览器应当默认打开“不跟踪”功能。Eisenhauer称:“这意味着欧洲国家已经开始对‘行为定位’感到担忧。”
Eisenhauer称,根据一些欧洲法律的理念,目前安全产品用于发现恶意行为迹象的核心技术——深度包检测也存储违反欧洲法律的可能性,公司需要注意部署深度包检测的方式。即便是通过安全与信息事件管理(SIEM)监管员工使用网络,也不符合欧洲的数据隐私理念。
被提议的欧盟数据隐私法规要求服务提供商应当迅速向当地政府、数据隐私监管部门和受到影响的个人报告数据泄露事件。法规还将对未能遵守规定的公司进行处罚,处罚金额至少占公司全球营收的2%。
不过,Eisenhauer补充称,欧洲负责数据隐私的政府监管部门鼓励云服务提供商与客户就出现的任何问题进行直接沟通。他们希望解决问题,而不是单纯地进行处罚。
包括作为云安全联盟(CSA)成员的惠普公司在内,许多公司都在密切关注这类将会对云服务产生影响的监管要求。
惠普企业安全解决方案部门全球技术官Andrzej Kawalec:“你将不得不对审计人员和监管制度做出回应。”这意味着整个数据中心将不再统一采用一种运营模式,而是分别有针对性的进行调整,以满足欧洲、亚洲和北美地区的不同要求。
他称:“比如说,在瑞士,瑞士人认为数据应当存储在瑞士境内。在安全和数据保护方面,每个公司都需要遵守更为严格的要求。”不同的地区对许多理念在认知上存在着差异,如欧洲认为IP地址也是个人身份信息的一部分,但是在美国却并不被认同。
目前美国也正在对云计算和安全进行重大的监管调整。这些调整的标志是美国政府在今年年初公布的FedRAMP项目。
FedRAMP旨在让那些为政府部门提供服务的云服务提供商(CSP)在未来两年内通过特殊的安全认证。咨询公司Bright Moon Security的***执行官Chris Simpson称,尽管目前还没有一家CSP通过认证,但是该项目的目的通过第三方评估确认这些CSP的云环境符合特定的安全要求。
这些评估包括云端的事件响应、高动态环境中的数字取证、多租户环境中的威胁探测与分析、对补救措施的持续监控等。FedRAMP要求服务提供商必须做好准备,随时向美国计算机应急响应组织(US CERT)和可能受到影响的政府部门报告各类安全事件。Simpson指出,代理服务商也应当随时向US CERT进行报告。
如果CSP无法达到FEDRAMP的要求,那么他们将无法向美国政府部门提供服务。Simpson称,虽然通过了FedRAMP认证的服务提供商有资格与美国政府部门签订服务合同,但是如果发生了安全事件或出现了数据泄露,那么他们可能将被取消资格。