Wir prüfen die Idee, eine ASP.NET MVC-App in Windows Azure zu verschieben, aber ich bin daran interessiert zu erfahren, ob SQL Azure für mich sicher genug ist, um Kundendaten wie etwa ihre Privatadressen usw. zu speichern.
Wir speichern keine Bankdaten oder ähnliches und möchten aus Skalierbarkeitsgründen die Leistungsfähigkeit der Cloud nutzen, möchten jedoch nicht, dass der Sicherheitsfaktor ein Hindernis darstellt.
Irgendwelche Ideen? Oder sollte ich ALLE persönlichen Daten verschlüsseln und jedes Mal beim Zugriff entschlüsseln?
Antwort1
Ich empfehle dringend, die Daten, die Sie verarbeiten, zu klassifizieren (sind der Name und die Privatadresse eines Kunden PII?) und sich über die relevanten staatlichen und bundesstaatlichen Vorschriften zum Senden dieser Daten an Dritte zu informieren. Nicht nur „Bankdaten“ sind geschützt.
Das Gesetz des Staates Massachusetts kann vorschreiben, dass die Daten während der Übertragung für jeden Einwohner verschlüsselt werden müssen. Siehe201 CMR 17,00. Das Gesetz des Staates Nevada kann vorschreiben, dass bestimmte Informationen auch für Einwohner geschützt werden müssen. Siehe NVSB347. CASB 1386stellt bestimmte Anforderungen, wenn „begründeter Verdacht besteht, dass die Daten eines Bewohners [...] von einer unbefugten Person erworben wurden.“ Wenn Sie unverschlüsselte Daten in der Cloud haben und ein Anbieter einen nicht näher bezeichneten Verstoß meldet, müssen Sie möglicherweise Ihre Kunden benachrichtigen.
Dies ist nur eine Auswahl dessen, was es gibt. Machen Sie sich also (1) klar, welche Art von Daten Sie haben, und (2) welche rechtlichen und regulatorischen Anforderungen gelten, um eine fundierte Entscheidung treffen zu können.
Weitere Cloud-spezifische Informationen finden Sie unterCSAund dasOWASP Cloud-Projekt.
Antwort2
Ich war auf einer kleinen Sicherheitskonferenz mit Vertretern von Microsoft, Google usw. Wenn man sie fragt, sagen sie, es sei sicher, und damit haben sie wahrscheinlich recht.
Ich glaube nicht, dass ihre Plattformen technisch unzureichend sind, was die Sicherheit betrifft, aber Microsoft hat vollen Zugriff auf Ihre Daten. Allerdings verfügen sie über Maßnahmen, die einschränken, wie und wann ihre Mitarbeiter darauf zugreifen können.
Es gibt viele Anwendungen, die in der Cloud gehostet werden. Ich denke, dass die Nutzung sicher ist, wenn Sie nicht mit besonders geheimen Dingen wie beispielsweise Krankenakten umgehen. In manchen Ländern ist es wahrscheinlich nicht einmal legal.
Letztendlich geht es darum, einem anderen Unternehmen zu vertrauen, dass es sich um Ihre Daten kümmert.