什麼是雲端資料安全?
雲端資料安全是指在使用雲端服務時,改善資料安全性與隱私權的實務。在現代化組織中,您需要在多項雲端服務中存放、傳輸及處理資料。組織可利用各項技術、控制措施,以及工具來建置雲端內部資料與客戶資料的安全性與隱私權。藉助雲端資料安全,您能夠保持良好的聲譽,並且有助於滿足合規目標。
雲端資料安全為何非常重要?
下面列出了雲端資料安全為何在商業環境中至關重要的幾個主要原因。
資料遺失防範 (DLP)
雲端資料安全涉及減少不必要的資料外洩,分析傳入流量是否有出現安全事件的跡象,以及整合可優先考慮組織安全狀況的實務。企業藉由遵循身分及存取管理,以及網路安全等領域的資料安全最佳實務,有助於保護其雲端資料,以及促進資料遺失防範。
法律合規
許多國際資料法律都要求加強資料防護,包括在雲端環境。諸如《一般資料保護規範》(GDPR) 與《加州消費者隱私法》(CCPA) 等法規可協助保護客戶的隱私權,強制要求組織透過嚴格的控制措施來保護個人身分識別資訊 (PII)。
HIPAA 與 PCI-DSS 等其他產業特定法規,亦要求組織遵守一套嚴格的標準,以便符合雲端資料儲存與防護標準。
減少未經授權的存取
藉助雲端資料安全實務,可協助保護所有雲端表面及資產免遭未經授權的存取。您可透過保護組織免遭未經授權的存取,來減少不必要的資料洩露,從而有助於確保敏感資料僅供授權使用者群組存取。
資料隱私權與取用者信任
強制執行與遵循高標準的雲端資料安全,亦也有助於提升客戶的信心與信任。您可持續為存放於組織雲端的客戶資料提供保護,藉此來改善聲譽,以及協助緩解因無意資料外洩,或者濫用私有資料而引起的負面品牌情緒。
雲端資料安全有哪些主要考量?
制定及部署雲端資料安全解決方案時,必須考量下列幾項主要因素。
內部政策
雲端資料安全實務源自於組織用於內部部署資料安全管理的精心建構的安全架構。在移轉至雲端及實作雲端資料安全政策時,您可查看現有的安全政策、合規義務、存取控制措施,以及資料保留規則,並將其擴展至此新環境。
對於雲端資料安全政策,也需要一些新的考量。舉例來說,若您想要將資料一直保留在您的國家/地區範圍內,必須考慮靜態資料、處理中資料,以及傳輸中資料所採取的路徑。
合規法規
雲端資料安全實務必須遵守所有相關的資料隱私權與防護框架。針對大多數組織,制定了 GDPR 等一些資料安全框架,法律要求必須遵守這些框架。為了支援您達到監管目標,您必須確保資料收集方式、資料存放位置、資料加密方式,以及擁有資料存取權的各方等的可視性。
雲端服務提供者往往會提供各種框架,來協助精簡合規程序,但您需要負責確保您的組織滿足這些結構的要求。舉例來說,AWS 支援 143 項安全標準與合規認證,其中包括 PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR、FIPS 140-3 和 NIST 800-171,可協助客戶滿足世界各地的合規要求。
敏感資料
相較於不太關鍵的資訊,存放於雲端服務提供者處的敏感資料應獲得更高等級的防護。敏感資料可包括財務交易或醫療記錄等資料類型。敏感資料處理採用不同的系統、加密形式,以及更高程度的存取控制措施。在組織內部對敏感資料做標記,有助於自動套用資料安全界限,以及滿足合規義務。
舉例來說,Amazon Macie 可自動探索 AWS S3 雲端儲存體中的敏感資料。
雲端基礎結構中的存取控制措施
存取控制措施是資料安全其中一個基礎支柱,並且應會擴展至雲端資料安全管理。了解誰有特定資料的存取權,使用權限等級來控制資料存取權,以及嚴格的存取控制系統,都是身分及存取管理中資料安全的基本要素。
舉例來說, AWS Identity and Access Management (IAM) 能夠更安全地管理及擴展 AWS 雲端中的工作負載與員工存取權。
雲端服務提供者選擇
每個雲端服務提供者均提供各種不同的資料防護框架、政策,以及控制措施。決定選擇哪個雲端服務提供者之前,請務必仔細閱讀他們的資料防護政策,以及選擇能夠滿足您全部期望的服務提供者。請務必了解共同的責任模型,包括組織的責任,以及雲端服務提供者在合規與雲端資料防護管理方面提供的服務。
雲端資料安全技術有哪些?
下面列出了一些最受歡迎的雲端資料安全解決方案與技術,有助於確保雲端系統中的資料安全。
虛擬私有網路 (VPN)
虛擬私有網路讓組織能夠建立更安全的資料傳輸通道,用於在兩個地點間進行資料傳輸。VPN 可在加密通訊中實作一層額外的安全保障,藉此來協助保護傳輸中的資料。雲端服務提供者可提供雲端原生 VPN 架構,您可依據自身的特定需求來進行設定。
Identity and Access Management (IAM)
藉助 Identity and Access Management (IAM),您可以定義誰可以存取特定資料,與資料互動所需的權限層級,以及資料儲存系統的可視性。
AWS Identity and Access Management 等 Cloud IAM 提供了各種工具,例如多重要素驗證,以及以角色為基礎的存取控制,以便管理使用者存取權,以及套用精細的資訊防護。IAM 可協助阻止未經授權存取您的雲端資料結構中的資料。
加密政策
無論是靜態資料還是傳輸中的資料,加密對於管理資料安全都不可或缺。依據 AES-256 及 TLS 等領先標準對資料進行加密,可協助保護敏感資料免遭未經授權的存取。在雲端資料安全框架中納入資料加密,來做為基本的安全措施。
資料控制措施
資料控制措施是指組織為確保資料治理而採取的技術,以及以政策為基礎的組態。舉例來說,日誌記錄與追蹤控制措施有助於顯示整個系統中的資料流,IAM 控制措施則可審查誰正在存取哪些檔案,以及資料落地控制措施可將所有雲端資料限制在特定區域。
資料落地
資料落地管理是指資料存放的地理位置,這是許多重要資料防護架構的監管要求。領先的雲端服務提供者讓您能夠自行選擇資料存放位置。依據您的組織、產業、居住地,以及您遵循的資料防護架構,您可選擇單一區域保留或者多區域儲存。
私有雲端
轉換到私有雲端環境,您的組織能夠在此完全掌控專用的雲端儲存解決方案,對於某些高敏感環境而言,這可能是增強安全性的實用選擇。做為單一租用戶擁有私有雲端,您的組織能夠掌控您所使用的硬體與網路組態,從而將與分享資料架構相關聯的任何風險降至最低。
備份
您的企業應確保擁有詳細的自動 備份程序,這可協助在發生非預期資料遺失或損壞時保護資料完整性。眾多領先的雲端服務提供者可提供整合式備份服務,您可在災難復原規劃程序中使用及設定這些服務。除了建立備份與復原程序,您的企業還應定期測試這些環境,以發現可避免的故障或錯誤。
自動刪除
眾多資料防護合規架構的核心內容都規定,組織不得長期存放使用者資料。由於這項要求,您必須實作自動資料刪除規則,以便移除任何到期資料,或者與您的系統不再相關的資訊。
此外,移除舊的資料還可協助增強雲端資料儲存的安全狀況,因為其可減少任何不必要的資料外洩。同樣地,在雲端環境,自動刪除政策亦可協助管理及降低資料儲存費用。
AWS 如何為您的雲端資料安全提供支援?
AWS 的設計旨在提供一個靈活且安全的雲端運算環境。
使用 AWS,您即可擁有自己的資料、控制資料的位置,並控管資料的存取權。我們很清楚地公開 AWS 服務會如何處理您上傳至 AWS 帳戶的個人資料 (客戶資料);我們提供各種功能,方便您加密、刪除並監控對您客戶資料的處理程序。
- 我們的歐盟資料防護服務有助於您在雲端,符合歐洲客戶的資料防護要求。AWS 服務、產品控制措施,以及最新的標準管理,可協助您符合歐盟各地監管機構的各項合規要求。
- 我們的數位主權承諾提供了對資料位置的控制權、資料存取的可驗證控制權、能夠隨時隨地方對所有內容加密,以及雲端復原能力。
- AWS 服務的隱私權功能包括您能夠加密或刪除資料、監控資料處理,以及停用遠端存取權。
我們提供的雲端資料安全服務包括:
- Amazon Macie 使用機器學習和模式比對來探索敏感資料,提供對資料安全風險的可見性,並針對這些風險啟用自動化保護機制。善用 Amazon Macie 可增強雲端安全狀況。
- AWS Security Hub 透過統一的雲端安全解決方案實現集中化管理,協助您更全面地了解您的雲端環境。AWS Security Hub CSPM (雲端安全狀況管理) 是 Security Hub 的一項功能,提供自動化的安全最佳實務檢查,以便協助您了解 AWS 帳戶中包括雲端資料安全在內的整體雲端安全狀況。
即刻建立一個免費帳戶,開始在 AWS 上使用雲端資料安全服務。