云隐私:基础功能和值得关注的新兴技术

日期: 2017-05-21 作者:Ed Moyle翻译:邹铮 来源:TechTarget中国 英文

对于很多安全从业人员来说,目前对云隐私的关注度和兴趣都居高不下。这里的原因不难想象:在欧洲运作的公司即将需要遵守通用数据保护条例(2018年5月),同时,很多新闻报道也在关注这一话题,诸如联邦通信委员会隐私保护法案被推翻等等。 对于那些大量使用云服务的企业来说,这里的挑战涉及:扩展现有隐私计划到云端以确保云端数据在企业的掌控中,尽管这些数据由服务提供商操作、处理或存储。 这里包括几个关键要素。

首先,这里假设你已经有隐私计划;您已经掌握您拥有的数据,您知道您的监管环境情况,并已经制定政策来管理数据隐私。在完成这些操作后,你还需要理解云服务提供商提供的隐私相关的功能,并将其调整为适应你的隐私计划。……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

对于很多安全从业人员来说,目前对云隐私的关注度和兴趣都居高不下。这里的原因不难想象:在欧洲运作的公司即将需要遵守通用数据保护条例(2018年5月),同时,很多新闻报道也在关注这一话题,诸如联邦通信委员会隐私保护法案被推翻等等。

对于那些大量使用云服务的企业来说,这里的挑战涉及:扩展现有隐私计划到云端以确保云端数据在企业的掌控中,尽管这些数据由服务提供商操作、处理或存储。

这里包括几个关键要素。首先,这里假设你已经有隐私计划;您已经掌握您拥有的数据,您知道您的监管环境情况,并已经制定政策来管理数据隐私。在完成这些操作后,你还需要理解云服务提供商提供的隐私相关的功能,并将其调整为适应你的隐私计划。

为了实现云隐私保护,您需要了解当前可用的选项和功能,以及了解正在开发的未来的新技术。

与其他任何事情一样,制定隐私计划意味着系统地定义和编写我们的预期,以及从可用工具和措施(以及即将推出的措施)中选择适当做法来帮助确保满足预期。

基础云计算隐私功能

这样做的第一步是了解服务提供商提供的可用的隐私选项。虽然服务提供商提供的任何安全功能都可能最终成为您隐私计划的组件,但还是有一些非常有用的选项。具体来说,很多提供商(特别是为全球客户提供服务的提供商)可提供直接支持和实现隐私的功能。

根据您选择的服务提供商,云隐私功能可能有所不同,有的更广泛,有的则具有针对新。

从验证和审查的角度来看,企业首先需要考虑的是是否符合国际标准ISO/IEC 27018:2014,该标准专门针对个人身份信息在云环境中的存储、处理和传输。大型提供商通常都会努力获得该认证,因为这可提高其在隐私要求更严格地区的竞争力。值得注意的是,对于这一认证,重要考虑因素是确保该认证的范围包括客户实际使用的服务,毕竟并非服务提供商的所有服务都在认证评估范围。这可简单地通过查看证书本身来完成,有信誉的提供商会将其证书提供给客户审查,以可让客户确保服务在认证范围内。

除此之外,提供商已经开始部署技术功能,以帮助满足客户的云隐私要求。例如,那些数据中心分布在不同地理位置(位于全球各地多个司法管辖区)的服务提供商通常提供功能来明确指出哪些数据中心用于支持个人客户。根据您的监管环境和隐私计划,您可选择特定地理区域。

此外,加密保护(例如对静态或传输数据加密)等控制可让云客户确保数据在提供商保管期间的安全性,同时,请仔细评估密钥的位置以及谁可以访问它们。

强大的日志记录和审计功能可在隐私保护中提供价值,因此,服务提供商在这方面提供的评估功能也很有帮助。

新兴技术

目前在服务提供商社区有一些令人兴奋的进展值得我们关注,具体而言,这些进展可确保企业可从数据获取全部价值,而不会牺牲隐私性。

例如,考虑这个问题:企业应该如何确保其数据可被分析以及获取价值,而云服务提供商(或者任何其他未经授权方)无法识别数据关联的个人?同样地,如果使用加密,企业如何从中获得洞察信息,而不需要在每次收集统计或分析信息时解密大量数据?下面领域的新兴技术将有助于解决这些问题。

首先要关注的领域是差异化隐私。差异化隐私背后的方法被设计为允许信息的统计分析通过不同数据源组合或者高级分析以匿名化方式完成。

例如,您可以想象不同数据项(数据本身不足以识别任何特定个体)同时进行分析:结果可能是,组合信息可推断特定个人,但不同数据集无法关联个人。在数据中有意引入噪音等方法可帮助缓解这个问题。虽然云服务提供商将此作为常用功能提供可能还需要几年时间,但目前正在进行研究,我们已经看到现实世界应用。

另一个值得关注的领域是同态加密。想象一下,当你希望对加密数据进行操作,而无需先加密;例如,如果你希望对数据库中加密信息列计算总和。传统加密方案通常无法进行,除非数据被解密。而同态加密允许对密文进行这些计算,即使数据本身保持加密,计算结果也将有效。

这是一个新兴领域,这就是说,从业人员需要知道这个功能,因为这可确保数据隐私得到保护,同时还允许企业使用数据。

简而言之,云环境中的隐私不仅可能实现,而且可以实现,云服务提供商社区已经在部署功能来提高隐私保护。展望未来,同态加密和差异化隐私等新兴技术将帮助企业从数据获得更多价值,同时确保满足隐私保护要求。

作者

Ed Moyle
Ed Moyle

Director of emerging business and technology at ISACA

翻译

邹铮
邹铮

相关推荐