云隐私:基础功能和值得关注的新兴技术

日期:2017-5-22作者:Ed Moyle

【TechTarget中国原创】

对于很多安全从业人员来说,目前对云隐私的关注度和兴趣都居高不下。这里的原因不难想象:在欧洲运作的公司即将需要遵守通用数据保护条例(2018年5月),同时,很多新闻报道也在关注这一话题,诸如联邦通信委员会隐私保护法案被推翻等等。

对于那些大量使用云服务的企业来说,这里的挑战涉及:扩展现有隐私计划到云端以确保云端数据在企业的掌控中,尽管这些数据由服务提供商操作、处理或存储。

这里包括几个关键要素。首先,这里假设你已经有隐私计划;您已经掌握您拥有的数据,您知道您的监管环境情况,并已经制定政策来管理数据隐私。在完成这些操作后,你还需要理解云服务提供商提供的隐私相关的功能,并将其调整为适应你的隐私计划。

为了实现云隐私保护,您需要了解当前可用的选项和功能,以及了解正在开发的未来选项。

与其他任何事情一样,制定隐私计划意味着系统地定义和编写我们的预期,以及从可用工具和措施(以及即将推出的措施)中选择适当做法来帮助确保满足预期。

基础云计算隐私功能

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Ed Moyle
Ed Moyle

Director of emerging business and technology at ISACA

企业安全风险管理>更多

相关推荐

  • 如何保护无服务器应用?

    无服务器应用的新趋势有望帮助我们实现云计算的原始梦想。通过无服务器应用,不再有维护基础设施的工作,让你可专注于构建更好的应用,这是非常令人信服并相当强大的……

  • 《2017年IT优先级调查》:重点考虑云、网络、端点安全

    在TechTarget《2017年IT优先级调查报告》中,显示了企业和信息技术专业人员投入时间和资源较多的一些重要的IT安全趋势。不例外的是,保护网络和企业中大量的端点被认为是2017年最重要的安全优先事项之一……

  • 为什么云安全离不开“可视性即服务”?

    公有云必须按需处理超大规模部署、资源池和持续的配置更改,而这将给可视性、安全性和合规性带来独特挑战……

  • 专访志翔科技伍桑海:“懂业务才能做安全”

    志翔的安全产品服务如今服务于从大型能源、银行部门到中小企业不等规模的用户。且对于安全方案,不同行业有不同的需求,在共性的方面志翔通过提供一个通用的方案满足用户在数据保护方面的需求。对于业务安全问题,会提供体制化的安全方案以贴合用户的业务……

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
【TechTarget中国原创】

对于很多安全从业人员来说,目前对云隐私的关注度和兴趣都居高不下。这里的原因不难想象:在欧洲运作的公司即将需要遵守通用数据保护条例(2018年5月),同时,很多新闻报道也在关注这一话题,诸如联邦通信委员会隐私保护法案被推翻等等。

对于那些大量使用云服务的企业来说,这里的挑战涉及:扩展现有隐私计划到云端以确保云端数据在企业的掌控中,尽管这些数据由服务提供商操作、处理或存储。

这里包括几个关键要素。首先,这里假设你已经有隐私计划;您已经掌握您拥有的数据,您知道您的监管环境情况,并已经制定政策来管理数据隐私。在完成这些操作后,你还需要理解云服务提供商提供的隐私相关的功能,并将其调整为适应你的隐私计划。

为了实现云隐私保护,您需要了解当前可用的选项和功能,以及了解正在开发的未来的新技术。

与其他任何事情一样,制定隐私计划意味着系统地定义和编写我们的预期,以及从可用工具和措施(以及即将推出的措施)中选择适当做法来帮助确保满足预期。

基础云计算隐私功能

这样做的第一步是了解服务提供商提供的可用的隐私选项。虽然服务提供商提供的任何安全功能都可能最终成为您隐私计划的组件,但还是有一些非常有用的选项。具体来说,很多提供商(特别是为全球客户提供服务的提供商)可提供直接支持和实现隐私的功能。

根据您选择的服务提供商,云隐私功能可能有所不同,有的更广泛,有的则具有针对新。

从验证和审查的角度来看,企业首先需要考虑的是是否符合国际标准ISO/IEC 27018:2014,该标准专门针对个人身份信息在云环境中的存储、处理和传输。大型提供商通常都会努力获得该认证,因为这可提高其在隐私要求更严格地区的竞争力。值得注意的是,对于这一认证,重要考虑因素是确保该认证的范围包括客户实际使用的服务,毕竟并非服务提供商的所有服务都在认证评估范围。这可简单地通过查看证书本身来完成,有信誉的提供商会将其证书提供给客户审查,以可让客户确保服务在认证范围内。

除此之外,提供商已经开始部署技术功能,以帮助满足客户的云隐私要求。例如,那些数据中心分布在不同地理位置(位于全球各地多个司法管辖区)的服务提供商通常提供功能来明确指出哪些数据中心用于支持个人客户。根据您的监管环境和隐私计划,您可选择特定地理区域。

此外,加密保护(例如对静态或传输数据加密)等控制可让云客户确保数据在提供商保管期间的安全性,同时,请仔细评估密钥的位置以及谁可以访问它们。

强大的日志记录和审计功能可在隐私保护中提供价值,因此,服务提供商在这方面提供的评估功能也很有帮助。

新兴技术

目前在服务提供商社区有一些令人兴奋的进展值得我们关注,具体而言,这些进展可确保企业可从数据获取全部价值,而不会牺牲隐私性。

例如,考虑这个问题:企业应该如何确保其数据可被分析以及获取价值,而云服务提供商(或者任何其他未经授权方)无法识别数据关联的个人?同样地,如果使用加密,企业如何从中获得洞察信息,而不需要在每次收集统计或分析信息时解密大量数据?下面领域的新兴技术将有助于解决这些问题。

首先要关注的领域是差异化隐私。差异化隐私背后的方法被设计为允许信息的统计分析通过不同数据源组合或者高级分析以匿名化方式完成。

例如,您可以想象不同数据项(数据本身不足以识别任何特定个体)同时进行分析:结果可能是,组合信息可推断特定个人,但不同数据集无法关联个人。在数据中有意引入噪音等方法可帮助缓解这个问题。虽然云服务提供商将此作为常用功能提供可能还需要几年时间,但目前正在进行研究,我们已经看到现实世界应用。

另一个值得关注的领域是同态加密。想象一下,当你希望对加密数据进行操作,而无需先加密;例如,如果你希望对数据库中加密信息列计算总和。传统加密方案通常无法进行,除非数据被解密。而同态加密允许对密文进行这些计算,即使数据本身保持加密,计算结果也将有效。

这是一个新兴领域,这就是说,从业人员需要知道这个功能,因为这可确保数据隐私得到保护,同时还允许企业使用数据。

简而言之,云环境中的隐私不仅可能实现,而且可以实现,云服务提供商社区已经在部署功能来提高隐私保护。展望未来,同态加密和差异化隐私等新兴技术将帮助企业从数据获得更多价值,同时确保满足隐私保护要求。