Norme e regolamenti specifici per il cloud

10

Non specifico per un particolare settore o requisiti, ma in generale - ci sono attualmente standard comunemente accettati per le applicazioni basate su cloud?

Sto * sto sviluppando un sistema che verrà implementato nel "cloud" (cioè ospitato da un provider IaaS / PaaS, ala Amazon EC2).
Oltre a qualsiasi regolamento o norma che si applica specificamente alla mia domanda, esiste un insieme di linee guida formulate (non solo le migliori pratiche) o normative specifiche per l'architettura cloud che dovrei rispettare?

Questo è irrilevante per il tipo o il contenuto dell'applicazione, sto chiedendo specificamente sulla configurazione dell'infrastruttura cloud.

L'intento principale qui è quello di soddisfare qualsiasi aspettativa che i clienti (enterprise) possano avere. (Per la sicurezza attuale non stiamo facendo affidamento sui regolamenti ...)

(*) Ok, non sono proprio io, è il mio cliente, ma abbastanza vicino.

    
posta AviD 21.02.2012 - 11:49
fonte

2 risposte

4

Non ci sono quelli specifici per il cloud di cui sono a conoscenza, tuttavia dovresti sicuramente pensare a SoD:

La maggior parte dei regolamenti di controllo finanziario richiede Segregation of Duties (SoD), e generalmente questi sono relativamente facili da gestire in un ambiente tradizionale. In un ambiente virtualizzato (sto esaminando l'ambito più ampio di "cloud" qui), l'IT di front e back office potrebbe finire per essere gestito dallo stesso individuo o team, e potrebbe effettivamente essere sullo stesso server, quindi se visto da un prospettiva dell'audit vi è un aumento del rischio di frode interna. Regolamentazioni come Sarbanes-Oxley richiedono severi controlli sulla separazione dei compiti, nonostante non siano espressamente formulati per l'IT in ambienti virtuali.

È probabile che anche i regolamenti sulla protezione dei dati presentino un problema. Nonostante non siano specifici del cloud, questi reg tendono a richiedere che le informazioni personali rimangano all'interno di specifiche giurisdizioni (ad es. Europa, Stati Uniti, Regno Unito) e se si dispone di un "cloud" standard potrebbero non esserci controlli per limitare l'effettiva memorizzazione dei dati. Ad esempio, se volessi archiviare i dati personali dei clienti nel Regno Unito su una nuvola che è parzialmente negli Stati Uniti, potrei cadere in disaccordo con il Data Protection Act del Regno Unito del 1998.

In termini di aspettative del cliente, il cloud viene spesso considerato molto resistente, a causa della sua natura distribuita, tuttavia si verificano interruzioni e, quando lo fanno, sei interamente dipendente dall'ordinamento del provider cloud fuori "nel cloud". Vedi l'interruzione di aprile 2011 di Amazon per un esempio.

    
risposta data 22.02.2012 - 10:21
fonte
3

Ne abbiamo consultati diversi in questo spazio negli ultimi 6 mesi. Il gruppo emergente per i materiali di riferimento sulla sicurezza attorno al cloud computing è il link

Se stai sviluppando un'applicazione per utilizzare lo stack del fornitore di servizi, ci sono alcuni ottimi consigli del CSA su cosa chiedere al tuo provider e quali requisiti minimi dovrebbero essere nel contratto sul livello di servizio.

Inoltre, dovresti essere il fornitore di applicazioni che fa tutto il quadro di buona sicurezza comune prima di passare al tuo fornitore di servizi: test del codice, rafforzamento del database, strong autenticazione integrata nell'application.

Chiedete al vostro fornitore di servizi di testare la vostra applicazione web una volta che sarà attiva anche sulla loro infrastruttura. Assicurati di poterlo testare come parte dello SLA.

    
risposta data 22.02.2012 - 16:56
fonte

Leggi altre domande sui tag