我們正在研究將 ASP.NET MVC 應用程式遷移到 Windows Azure 的想法,但我很想知道 SQL Azure 是否足夠安全,可以讓我儲存客戶資料(例如他們的家庭地址等)。
我們不儲存銀行詳細資訊或類似信息,並且出於可擴展性原因希望利用雲端的強大功能,但不希望安全因素成為阻礙問題。
有什麼想法嗎?或者我應該加密所有個人資料並每次訪問時解密?
答案1
我強烈建議對您正在處理的資料進行分類(客戶的姓名及其家庭住址是否構成 PII?),並了解有關將該資料發送給第三方的相關州和聯邦法規。受到保護的不僅是「銀行詳細資料」。
馬薩諸塞州法律可能要求任何居民的資料在傳輸過程中進行加密。看201 CMR 17.00。內華達州法律也可能要求保護居民的一些資訊。參見NVSB347。 CASB 1386如果居民的資料“被合理地認為是[...]被未經授權的人獲取”,則提出了某些要求。如果您在雲端中擁有未加密的數據,並且提供者報告了未指定的違規行為,您可能必須通知客戶。
這只是現有內容的一個樣本。因此,(1) 了解您擁有哪些類型的數據,(2) 了解您的法律和監管要求,以幫助您做出決定。
有關更多特定於雲的信息,請參閱CSA和OWASP 雲端項目。
答案2
我參加過一個小型安全會議,與會者包括微軟、谷歌等公司的代表。
我不認為他們的平台在安全性方面技術上不夠,但微軟確實可以完全存取您的資料。然而,他們確實採取了限制員工存取的方式和時間的措施。
有許多應用程式託管在雲端中,我認為如果您不處理任何特別機密的內容(例如醫療記錄),那麼使用它是安全的。那麼它在某些國家可能甚至不合法。
最終,這是關於信任另一家公司為您處理您的資料。