180 likes | 335 Views
Data Security: The Challenges of Cloud Computing. Author : Hu Shuijing Shanghai Univ. of Political Sci. & Law, Shanghai, China Report date :2013/05/29 Reporter : 張任頡 Student number : MA2G0106 Class : 碩研資工一甲. OUTLINE. I. Introduction II. Cloud computing fundamentals
E N D
Data Security: TheChallenges of CloudComputing Author :Hu ShuijingShanghai Univ. of Political Sci. & Law, Shanghai, China Report date :2013/05/29 Reporter : 張任頡 Student number :MA2G0106 Class : 碩研資工一甲
OUTLINE I. Introduction II. Cloud computing fundamentals III. Data Security issues for cloud computing IV. Data Security Mitigation V. Conclusion
I. Introduction (1/1) 1.擔憂會出現有關個人的信息安全跟隱私 2.雲端為消費者提供大量廉價、多餘的儲存空間,允許他們從世界各地即時讀取他們的資料 3.便利也帶來了像是hacker跟隱私侵犯的風險
II. Cloud computing fundamentals (1/3) 1. 雲端計算的定義: 普遍接受的定義是NIST所提供的標準 「雲端運算是一種模式,能方便且隨需求應變地透過連網存取廣大的共享運算資源(如網路、伺服器、儲存、應用程式、服務等),並可透過最少的管理工作及服務供應者互動,快速提供各項服務。 」
II. Cloud computing fundamentals (2/3) 2.雲端計算的優缺點: A.優點: a. 資料保存 b. 不必具有相應的專業知識 c. 不需直接進行內容控制 d. 一些研究表示,企業採用SaaS所得到 的回饋為600%,對雲端供應商有益
II. Cloud computing fundamentals (3/3) B. 缺點 : a.隱私部分的保護不完整 b. 伺服器出問題,資料可能會不完整
III. Data Security issues for cloudcomputing(1/4) 1.Data Location: 每個國家或地區對於隱私權的保護有不同的規範,有些隱私權保護的規範,甚至會限制資料在未經授權前不可傳送至其他的國家或地區。
III. Data Security issues for cloudcomputing(2/4) 2.Unwanted access : 在一般情況下,儲存雲端可以更加在由惡意行為的風險比在雲端中的處理,因為數據可能會保持在雲中很長一段時間,所以曝光時間大得多。 3. Data Segregation : 因為服務供應商同時提供服務給許多客戶,各個客戶間的資料是否已被有效的隔離,以避免資料被其他客戶看到而產生資料外洩的疑慮。
III. Data Security issues for cloudcomputing(3/4) 4. Vendor Lock-In : 到目前為止,雲計算仍然沒有互操作性標準。標準的缺乏使得它很難建立對異構環境,並迫使人們安全框架的時刻依靠共同安全的最佳做法。 5. Data Remanence (資料殘留): 當使用者進行文件的刪除時,實際上並沒有真正的刪除該文件,便可能產生雲端上資料的安全性問題。
IV. Data Security Mitigation (1/7) 1. Encryption (加密) :
IV. Data Security Mitigation (2/7) 2. Access Control: 所關注的第一個問題是訪問控制的存在是為了保護數據嗎?。一般電信營運商採用弱認證機制(ex:用戶名+密碼)和授權提供給用戶的控制往往是相當粗糙的 透過ISO/IEC27002 的定義來增強其認證機制跟控管
IV. Data Security Mitigation (3/7) 3.Innovative Regulatory Frameworks:
IV. Data Security Mitigation (4/7) A.Risk assessment(風險評估): 這種做法得面對 CSP 的風險評估,並確定具體的遵守制度跟要求適用於 CSP 服務。CSP 應解決與訪問雲端,敏感性資料的加密的適當的使用者身份驗證機制等關鍵領域相關聯的風險和相關聯的金鑰管理控制,客戶的資料和 CSP 的管理存取權限的邏輯分離。
IV. Data Security Mitigation (5/7) B.Key controls: 主要在於確認跟控制,以處理以識別的風險跟法規要求 --為了滿足的 CSP 客戶的要求和其他外部要求的統一控制中捕獲這些關鍵的控制。 C.Monitoring(監測): 監測和測試流程的定義和執行的關鍵控制持續進行。需要補救差距確定了整治進度跟蹤。持續監督活動的結果也可用於支持任何所需的外部審計。
IV. Data Security Mitigation (6/7) D.Reporting: 指標和關鍵績效指標(KPI)的定義,並報告持續進行。 E.Continuous improvement: 管理可提高其控制時間 迅速採取行動以便解決在監測和利用的機會來改善流程和控制的過程中發現任何重大差距。
IV. Data Security Mitigation (7/7) F.Risk assessment-new IT projects and systems: 在CSP進行風險評估作為新的IT項目,系統和服務的開發,以識別新的風險和要求,以評估對CSP的電流控制的影響,並確定是否需要額外的或修改的控制和監控流程。
V. Conclusion(1/1) 1.透過加密、 存取控制和加強管理的有效措施可以降低安全風險。 2.CSP不提供足夠可靠的控制周圍的資料安全。最佳可行的選擇是確保任何敏感的或受管制的數據可能會無法放入公共的雲端。