È sicuro memorizzare SSN in Azure Cloud?

Naviga le tue risposte
11

Sto facendo la due diligence su un'azienda. Sono interamente basati sul cloud e necessitano di raccogliere molte informazioni personali dagli utenti (incluso SSN). È qualcosa con cui dovrei essere maggiormente interessato? Dicono che stanno usando la crittografia e Azure è una piattaforma sicura. Non sono a conoscenza di quanto sia attualmente affidabile lo storage cloud affidabile e quanto sia complesso da configurare e mantenere. Se il cloud storage è OK per questi dati con le dovute precauzioni, ci sono domande che devo porre su questo argomento?

    
posta Tyler Perkins 10.04.2016 - 02:52
fonte

2 risposte

18

Considerato lo stato attuale del cloud pubblico, direi che in molti casi è più sicuro rispetto allo storage on-premise. Concesso che lavoro per Microsoft, ma la mia opinione è precedente al mio impiego e si estende anche a concorrenti come Amazon e Google. Le aziende i cui modelli di business sono costruiti sulla base delle competenze operative e dell'eccellenza dei data center, sono semplicemente sempre migliori e gestiscono e proteggono le proprie risorse rispetto alle aziende che considerano l'IT ei dati come un semplice costo da controllare.

Detto questo, ci sono sicuramente un paio di cose che vorrei dare un'occhiata attenta.

  • In che modo crittografano i dati? La crittografia è facile da sbagliare e, con i dati strutturati come SSN e con un dominio così piccolo, sbagliare potrebbe portare a una significativa violazione della riservatezza.

  • Come gestiscono l'accesso? Per questo è necessario guardare non solo a chi ha accesso tramite l'applicazione e alle macchine, ma da una prospettiva specifica di Azure, chi ha accesso ai gruppi di risorse e alla sottoscrizione?

  • Gestione delle chiavi. Azure offre storage di chiavi basato su HSM. Per dati sensibili, è necessario assicurarsi che stiano utilizzando un Key Vault protetto da HSM.

risposta data 10.04.2016 - 03:34
fonte
2

Per aggiungere alla risposta di Xander, ci sono alcune cose da considerare:

  • Politica aziendale
  • IaaS, PaaS e SaaS multi-tenancy
  • Gestione delle chiavi
  • Attuale posizione di sicurezza interna

Politica aziendale

Alcune aziende stanno bene con * aaS, alcune aziende sostengono che un certo livello di PII è ok per archiviare off-prem senza crittografia, o richiedere la crittografia per un certo livello, e dire sopra quel livello, nessuna memoria off-prem. Se la società non ha queste norme, incoraggiali a ottenere tali norme.

Multi-tenancy

Multi-tenancy o hosting di più clienti nella piattaforma o nello spazio di rete. Ciò semplifica la rotazione e lo sniffing del traffico.

Alcuni provider ti daranno un'istanza dedicata se sei disposto a pagare un po '(o molto) extra.

Gestione chiave

Come menzionato da Xander, alcuni fornitori (Amazon e Microsoft lo fanno per certo, non so su Google, anche se immagino che lo facciano) offrono un HSM per la gestione delle chiavi. L'azienda si fida del codice SEE nell'HSM? La società è disposta a fornire la chiave per crittografare e decodificare i dati significativi dell'identità? L'azienda può controllare il codice SEE?

Posizione di sicurezza aziendale

Questa azienda ha un processo di gestione dei fornitori maturo? Processo di risposta agli incidenti? Cosa succede se uno di questi fornitori viene violato? Il team IR dell'azienda ha la capacità di lavorare con il fornitore? Il fornitore sarà tenuto a un contratto per notificare la società in caso di violazione rilevata? I registri verranno inoltrati a una soluzione di monitoraggio del registro aziendale? La soluzione di monitoraggio del log è monitorata e mantenuta? L'azienda dispone di un programma di test e revisione della sicurezza maturo?

Queste sono tutte domande che dovrebbero essere poste e risposte oltre "è sicuro?" perché le politiche, la postura della sicurezza e l'ambiente dei provider hanno un impatto "sicuro?" molto.

    
risposta data 10.04.2016 - 09:56
fonte

Leggi altre domande sui tag

Codice relativo alla sicurezza nei progetti Open Source? Come puoi credere che il tuo router non rubi le tue chiavi IPSec private?