• nav


GDPR и облако: три основные функции

Новое законодательство в области защиты потребителей, в том числе принятый год назад Евросоюзом Общий регламент защиты данных (General Data Protection Regulation, GDPR), или новый Калифорнийский закон о конфиденциальности данных (California Consumer Privacy Act, CCPA), предлагают потребителям дополнительную защиту, гарантируя конфиденциальность их данных и помогая предотвратить проблемы, связанные с кражей данных или их неправомерным использованием. Для этого в законах определены понятия персональных данных или персональной идентифицирующей информации (personally identifiable information, PII), устанавливаются единые стандарты соответствия, обязательные для всех организаций, а в случае, если организации не сумели защитить персональную информацию своих клиентов, в законе предусмотрены суровые штрафы.

Во власти пользователей

Среди наиболее важных преимуществ нового законодательства – наличие четкого и недвусмысленного определения того, что подразумевается под персональными данными; наличие подробных правил в отношении того, как могут и не могут использоваться эти данные любыми организациями, ведущими бизнес в том или ином регионе – где живут, работают или который посещают граждане, в том числе в удаленном режиме; наличие явного определения того, что представляет собой утечка персональных данных, а также единых стандартизированных требований к уведомлению пользователей о подобных утечках; и обеспечение пользователям полного контроля над тем, как используются и хранятся их персональные данные.

В GDPR представлено более общее и широкое толкование персональных данных, чем в предыдущих попытках законодателей, в том числе здесь даны определения IP адресов, биометрических данных, идентификаторов мобильных устройств и прочих типов данных, которые могут потенциально использоваться для идентификации личности, определения местоположения пользователей или отслеживания их деятельности. В законе CCPA это определение представлено еще шире, в частности, были добавлены такие вещи, как данные геолокации и информация о покупках, просмотрах и история поиска.

Алексей Андрияшин, технический директор Fortinet в России

Об авторе:

Алексей Андрияшин, технический директор Fortinet в России

По данным Wikipedia: Fortinet - американская транснациональная корпорация, специализирующаяся на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности: межсетевых экранов, антивирусных программ, систем предотвращения вторжений и обеспечения безопасности конечных точек и других продуктов. По объему выручки компания занимает четвертое место среди всех компаний, специализирующихся в области сетевой безопасности.

Более того, организациям, на которые распространяется новое законодательство, требуется не только получать явное согласие от граждан на сохранение и использование их персональных данных, но и соблюдать их «право на забвение» – что позволяет отдельным лицам требовать от организации удаления любых персональных данных о них, какой бы ни была причина.

Конфиденциальность данных и облака

Сложность заключается в том, что в условиях современных высокораспределенных сетей облачные данные могут быть многократно скопированы и находиться практически в любом месте. Недавний быстрый переход на мультиоблачные сети, платформы и приложений еще больше усугубляет ситуацию. Для выполнения требований в отношении конфиденциальных данных в подобных окружениях организации вынуждены внедрять решения безопасности, которые в целях централизации управления и обеспечения прозрачности охватывают всю распределенную сеть. Это позволяет организациям обеспечивать согласованную защиту данных и применение соответствующих политик, обнаруживать и сообщать о кибер-инцидентах и удалять все экземпляры персональных данных по требованию клиентов.

Для этого необходимо придерживаться трех следующих базовых принципов:

1. Решения безопасности должны работать в мультиоблачных окружениях. Стандарты безопасности должны применяться комплексно, в масштабах всей распределенной инфраструктуры. Хотя законы о конфиденциальности данных могут относиться к какому-то отдельному региону, облачные технологии позволяют данным с легкостью пересекать эти границы. Политики и средства защиты для данных, размещенных в физическом центре обработки данных, на который распространяется действие регионального законодательства, должны «следовать» за этими данными по мере их перемещения в облаке или в другие центры обработки данных, в течение всего того времени, пока они находятся в пределах этого региона.

Таким образом, возникает две проблемы, которые необходимо решить.

  • Во-первых, нужен механизм, который позволял бы отслеживать каждый экземпляр этих данных, особенно когда они попадают в различные приложения или перемещаются между рабочими нагрузками. Данные имеют тенденцию множится, и необходим способ для управления всей этой информацией.
  • Во-вторых, вам потребуется обеспечить последовательную сегментацию в масштабах всей распределенной инфраструктуры. Сложности возникают, когда политики безопасности действуют только в отдельном физическом или облачном окружении, и решения безопасности, в силу того что требования в каждом облачном окружении отличаются, не способны обеспечить комплексное выполнение этих политик или нужную функциональность. Инструменты безопасности должны быть нативно интегрированы в облачные платформы, чтобы обеспечить сегментирование мультиоблачных окружений, и политики безопасности должны транслироваться «на лету», чтобы учитывать различия в облачных платформах по мере перемещения данных. А центры обработки данных, находящиеся в других точках планеты, должны поддерживать эти новые требования безопасности, в противном случае они могут стать слабым звеном в цепочке безопасности.

2. Необходимо использовать технологии предотвращения утечек данных. Для отслеживания и управления персональными данными необходимо внедрять технологии предотвращения утечек данных (Data Loss Protection, DLP), которые могут применяться в виде встраиваемых решений (inline) или на уровне API интерфейсов облачной инфраструктуры. Подобные решения должны уметь выявлять, отслеживать и поддерживать «реестр» всех персональных данных. Вот несколько ключевых принципов, которых следует придерживаться при работе с персональными данными и обмене ими:

  • DLP-мониторинг должен действовать начиная с точки получения или создания любых персональных данных.
  • Данные, содержащие персональную информацию и используемые приложениями или пользователями, должны отслеживаться и контролироваться, чтобы гарантировать должный уровень защиты при обращении к этим данным и их обработке.
  • Необходимо обеспечивать защиту перемещаемых данных, особенно когда они перемещаются между различными приложениями или облачными окружениями.
  • Необходимо осуществлять мониторинг и обеспечивать защиту хранящихся данных, – независимо от того, размещаются ли они в облаке или в физической точке.
  • Технологии DLP также должны отслеживать различные версии этих данных, или даже фрагментов этих данных, когда они копируются или используются различными приложениями или хранятся в различных локациях.

3. Отчетность о соблюдении требований должна иметь централизованное управление. Отчетность о соблюдении требований должна вестись в масштабах всей распределенной инфраструктуры. Как и в случае с другими требованиями, здесь необходима тесная интеграция со всей облачной и локальной инфраструктурой безопасности. Для этого необходимо реализовать централизованное решение для управления и оркестрирования, такое как SIEM, или внедрить любую другую единую консоль управления, которая бы обеспечивала полную прозрачность во всей мультиоблачной инфраструктуры и всей инфраструктуры безопасности. Это позволит избежать ручного сопоставления данных из нескольких систем – именно в эти моменты можно что-то упустить из виду, что при аудите может вылиться в серьезные штрафы.

Вместо пассивных решений внедряйте интегрированные стратегии, действующие на опережение

Наилучший подход к обеспечению безопасности заключается в том, чтобы остановить атаку еще даже до того, как она была начата, и ограничить область ее действия в случае утечки. Для этого организации должны использовать определенные технологии и политики, такие как:

  • Современные инструменты предотвращения и обнаружения угроз, в том числе технологии оперативного анализа угроз, усиленный контроль доступа, средства поведенческого анализа и ATP решения, которые позволят им быть во всеоружии при возникновении утечек.
  • Сегментирование сети на основе намерений (intent-based), как самой сети, так и микро-сегментирование, чтобы ограничить область действия утечки до определенного набора данных или сегмента сети.
  • Интегрированные решения безопасности, способные тесно взаимодействовать друг с другом, обмениваться накопленными данными об угрозах и координировать реагирование на угрозы. Эти инструменты должны быть нативно интегрированы с API и инфраструктурой различных облачных окружений, что позволит контролировать выполнение политик и согласованно реагировать на утечки в масштабах всей сети.
  • DLP решения позволяют отслеживать данные и предотвращать несанкционированный доступ, использование или передачу данных, независимо от того, где используются эти данные, куда они передаются или где хранятся. Для этих решений важным аспектом является возможность обмена информацией между различными защищенными инфраструктурами.
  • Централизованные инструменты управления, обеспечивающие единую точку прозрачности и управления всеми данными, что позволит гарантировать согласованность политик и конфигураций, выявление утечек и соответствующую отчетность, выполнение запросов потребителей, а также согласованность и полноту отчетности о соблюдении требований.

При правильном осмыслении регламенты в отношении конфиденциальности данных не только обеспечивают защиту персональных данных потребителей, но также позволяют поднять планку безопасности для всей организации. Это вынуждает организации вернуться к самому началу, заново переосмысливать процессы и политики, выявлять и устранять пробелы, а также централизовать свои инструменты управления и решения обеспечения прозрачности. Многие из этих базовых принципов безопасности были упущены в гонке за цифровой трансформацией, и это хороший повод перегруппировать, переосмыслить и перестроить защиту вашей инфраструктуры.

Алексей Андрияшин
22/06.2019




ПОХОЖИЕ СТАТЬИ:

HyperX Cloud Earbuds – компактная игровая гарнитура

Сегодня речь пойдёт о компактной игровой гарнитуре HyperX Cloud Earbuds, выполненной в виде вкладышей. Такой тип игровых гарнитур пользуется своим спросом, потому что в дороге для игры в приставку (или смартфон) не ...

Секреты профессионалов: как масштабируют ЦОД облачные провайдеры

Вас всегда интересовало, а как операторы ЦОД-ов выбирают и настраивают своё оборудование? Почему, например, они устанавливают сервер «А», а не «Б», на что опираются - на скорость VM или потенциальное их количество в стойке, и как ...

Неочевидные проблемы нехватки специалистов по облачной безопасности

Согласно отчету ESG, 53% респондентов считают, что нехватка кадров в области кибербезопасности составляет проблему для их организации. И это касается только общих специалистов, которые занимаются поддержкой и защитой традиционных...

Изучаем шифрование памяти в процессорах AMD, или как EPYC 7000 защищает ваше облако

Как работают технологии SME, TSME и SEV, от каких угроз безопасности они защищают, какими гипервизорами поддерживаются, как закрываются баги и что об этом думают разработчики ПО и облачные провайдеры. Мы привлекли экспертов, разобр...

Как поставщики коммуникационных услуг могут защитить сети устройств IoT?

Любой поставщик коммуникационных услуг, поддерживающий сервисы IoT, должен уделять пристальное внимание тем рискам и угрозам безопасности, которые несет в себе Интернет вещей. Устройства IoT по своей природе обладают весьма скудным...


НА ФОРУМЕ ГОВОРЯТ



НОВЫЕ СТАТЬИ
A4 FStyler FG10 – беспроводная офисная мышь из новой линейки

Недавно бренд A4Tech представил новую линейку офисной и домашней периферии с интересным названием FStyler. Линейка включает и мышки, и клавиатуры, и комплекты в проводном и беспроводном исполнении. Сегодня мы рассмотрим ...

Обзор Nobby Expert NBE-PB-10-10 и Nobby Comfort NBC-TC-34-20

Бренд Nobby предлагает целый парк аксессуаров для мобильной техники – чехлы, зарядные устройства, USB кабели, беспроводные наушники и колонки. И сегодня мы протестируем симпатичный powerbank Nobby Expert NBE-PB-10-10...