云端時代,政府部門對于其所維護的資料要如何“走入”云端,面臨了前所未有的新挑戰(zhàn);一方面要具備各式應(yīng)用程序的云端存取,另一方面又要做好資料安全的管控,特別是必需符合法規(guī)遵循的要求。為此,Blue Coat 美國聯(lián)邦系統(tǒng)工程總監(jiān) David Rubal 特別提供了建議概要,以協(xié)助政府部門解決相關(guān)的法規(guī)遵循障礙。
 
  David Rubal 表示,許多政府部門都被委以保管機密資料,而且必須處理與判讀這些資料以服務(wù)百姓。無論這些資料是否牽涉到人民或政府人員的“個人身份資訊”(Personally Identifiable Information,PII),或是受某些法規(guī)要求的機密資訊,只要是受監(jiān)督管理的資料,都必須遵守嚴格的政策規(guī)范,以確保資訊受到足夠的安全保護。
 
  但另一方面,政府機構(gòu)在樽節(jié)成本、系統(tǒng)整并及云端服務(wù)控管的要求下,越來越多資料面臨走進云端的壓力。例如美國聯(lián)邦政府以“聯(lián)邦云端運算策略”(Federal Cloud Computing Strategy)規(guī)定聯(lián)邦政府之間必需采用云端項目,但是每當(dāng)有處理這些資料的程序時,卻又只有少數(shù)公司具備足夠的安全技術(shù)認證可以提供 FedRAMP 認證的解決方案。結(jié)果是,許多政府機關(guān)發(fā)現(xiàn),他們無法使用一些真正吸引他們的領(lǐng)導(dǎo)級 SaaS 應(yīng)用,也就無法確認這些應(yīng)用能夠為自己機關(guān)所管轄的資料提供符合現(xiàn)行資料安全的法規(guī)要求。如果把資料交給提供公有云服務(wù)的第三方業(yè)者,如何處理與儲存資料都是一個非常艱鉅的挑戰(zhàn),往往又會衍生出其他新的法規(guī)遵循與風(fēng)險管理問題。
 
  這些問題包括:
 
  法規(guī)遵循(Compliance):又稱“合規(guī)性”。有些機關(guān)所處理的資訊可能要求必需符合某些法規(guī)的要求與控制。例如,想要存取美國FBI資料的部門就必需符合“刑事司法資訊服務(wù)”(Criminal Justice Information Services,CJIS)資料安全要求。如果想要存取某些美國國防部武器系統(tǒng)的資料必需符合國務(wù)院的ITAR 及商務(wù)部的 EAR 規(guī)定。許多機關(guān)可能需要存取個人醫(yī)療資訊(Personal Healthcare Information,PHI),那么就必需要符合 HIPAA 的要求。支付卡產(chǎn)業(yè)資料安全標(biāo)準(PCI DSS):許多機構(gòu)維護支付卡及民眾個人與私人企業(yè)的詳細金融資料,如帳號、路由號碼(routing numbers)等。這些資料所存放的地方,包括云端系統(tǒng),都必需受到保護。敏感的非機密資訊保護(SBU Protection):一些機構(gòu)所處理的是屬于“敏感的非機密資訊”(Sensitive But Unclassified,SBU)。關(guān)于如何在類似公有云網(wǎng)絡(luò)環(huán)境處理這些資料,美國國家標(biāo)準暨技術(shù)局(National Institute of Standards and Technology,NIST)就提出具體的處理規(guī)范。排除采用云端的障礙
 
  以聯(lián)邦政府為例,在考慮是否采用云端時所面對的問題相當(dāng)特別。公有云 SaaS 在資料控管上的常見缺失,就是一個重要問題。云端存取安全代理(Cloud Access Security Broker,CASB)解決方案讓政府機關(guān)為云端 Apps 提供資料存取的同時,還能維護及控管機密資料、監(jiān)管資訊及人民個人身份訊息。
 
  對于考慮選擇云端存取安全閘道解決方案的政府機構(gòu)來說,以下是“一定要有”的評估標(biāo)準:
 
  完整的云端資料控制:任何資料都不得在機關(guān)單位網(wǎng)絡(luò)之外以“明碼”方式分享,資料的加密必需基于使用者定義的“符記化”(tokenization)或加密選項達到“欄位級”(field-level)的控管等級,讓相關(guān)的政府部門能夠確保對資料安全的符號庫(token vault)及加密金鑰有完整的管控能力。使用 FIPS 140-2 加密并保有云端功能:為了保有云端應(yīng)用的功能,F(xiàn)IPS 140-2 合規(guī)性模組以及相關(guān)的認證演算法在加密機密資料及保有關(guān)鍵云端功能都是必要的。經(jīng)審核的第三方符記化解決方案:符記化技術(shù)對于資料的常駐(residency)及資料的管轄要求特別有用,但必須透過相關(guān)業(yè)界標(biāo)準稽核與認證。控管移動設(shè)備存取的云端資料:機密資料還在部署的機構(gòu)內(nèi)時就要欄截下來,并以隨機的符記或加密值(encrypted value)來取代,將其轉(zhuǎn)譯(render)為無意義的形式呈現(xiàn),讓外部個人或機構(gòu)能夠在存取資料的同時,也能同步儲存在云端或移動設(shè)備做程序處理。
責(zé)任編輯:admin