公有云的安全合规介绍

1、公有云的安全合规介绍技术创新 变革未来云端的安全合规全球数据合规 业务生态正在改变68%Data breaches are increasingNew data privacy regulationsSource: 2017 Global DTRPCI-DSSMEXICO PLCHIPAAFedRAMPGDPReiDASPIPAMASPOPIDPA合规介绍为何中国企业需要关注国际数据安全法？很多法规， 像EU国际法都是全球有效的。违反法规有相关处罚倾向更严格严紧的消费者隐私法有些国际隐私法也同时禁止 跨境数据的转输以达到数据保护目的Privacy laws focus on protectin

2、g people mainly consumers & employees隐私法注重以“人”为主体 - 消费者或员工，先要了解清楚受影响的行业：给国际客户提供货品/服务的公司有员工在他国系统里有处理他国国民数据不在当地处理收集到的数据什么是欧盟通用数据合规88 页 欧盟通用数据保护条例(GDPR) 是一项重要的 欧盟数据监管条例，用于数据保护取代 EU Data Protection 95/46/EC条例有什么不一样?加强了约束力来协调并提高整个欧盟的数据保护标准，安全性以及合规 性2018 年5 月25 日正式生效适用范围：成立于欧盟的所有组织，以及欧盟以外致力于监控或者处理欧盟 内部个人数

3、据的所有组织罚款个大Revenue: 全球营业额4% 或 2千万欧元E.g. 年营业额400m 的 TalkTalk (UK) under current regime - under GDPR would have been somewhere around 72m! (2016 Financial Results)Reputation声誉: 72 小时强制通报Resource资源: Data Protection Officer 委任数据安全主任Results结果: 强制隐私数据检侧 Data Privacy Impact Assessments (DPIA)隐私和安全是重叠的概念Lawf

4、ulness, fairness and transparency合法，公平，透 明Purposelimitation目的限制Dataminimisation数据最小 化Accuracy准确性Accountability问责制Dataconfidentiality保密Dataintegrity数据的完 整性When to destroy data (Storage Limitation)何时销毁数据Availability可用性PersonalPrivacy / Data Protection个人隐私数据data个人数据Overlap ofPrivacy and SecurityConcern

5、s隐私和安全问题的重叠Other datae.g. important corporate dataSecurity信息安全其他数据例如重要的企业数据在文件里，提到653 数据处理309 数据保护181 权 益49 考 核18 脱敏和加密提到了多少：防火墙防毒IPS 入侵防止应用防火墙DLP 数据外泄多从认证技术0所以， GDPR是 。八大权利The right to beinformed通知The right of access存取The right torectification纠正The right to erasure (right to beforgotten)删除The right

6、 to restrict processing限制处理The right to data portability数据移动性The right to object反对Rights in relation to automated decision making/profiling自动化破坏防止基础服务计算存储数据库联网云服务基础设施区域边缘站点客户数据客户应用系统平台、应用程序、身份和访问管理网络和防火墙配置服务器端数据加密网络流量保护安全和改进日常审核和计划安全工具安全功能客户云上安全的“责任分担”关注业务安全与合规实施和管理控制措施访问成熟的供应商市场国内企业实施数据场景案例分享行业别：IO

7、T 生产/服务全球 vs 本地企业产品风险，信息安全大数据电商 - 数据流程面对全球市场应注意事项数据场景内容分发 和工具 类行为内容处理跨境处理权限，管理机制产生的信息安全需求Databases数据库S3 加密De-identify data 去身份识别Data Tokenization双向脱敏Secure KeyManagement密管EC2RDSS3EBSEC2RDSS3EBSUser side data securityDisk/File 加密IDM 身份认证系统Privileged ManagementRDSData at restApplicationsCEO columnGDPR

8、 can be extended to customer premises, since its about privacy data use cases.第三方:统一安全平台，策略On-premises - 云平台支持Key Governance eg: Root of Trust, key lifecycle，自己管理敏感密钥合规需求 FIPS140-2 L3加入更全面的 使用者管理策略， SIEM等和内部系统整合，如现有加密机。Aws Native EncryptionFull disk encryption 概念Protect Lower level adminaccessEasy f

9、unction by “turning” on云上KMS and CloudHSM 服务， 缩短部署时间常见和信息保护方案CEO ColumnGood resource supportIn AWS ecosystem earlierConsultancy service likeGDPR, PCI. Strong in FinanceSupport China marketAWS 企业数据保护 方案及定位EC2S3EBSRDSAWS IAASGemaltoThalesDBSecEC2ProtecV-VM agent baseVTE agent baseS3ProtectAPP- agent b

10、aseS3 encryption gatewayEBSProtecV-VM agent baseVTE agent baseRDSProtectApp TokenizationVAE TokenizationTokenizationKey managementkeySecure(VM/HW）DSM(VM/HW）Cert(algorithm)FIPS algorithmFIPS algorithmSM algorithmMonth（subscriptions)AvailAvailavail结论Privacy is a very complex area隐私是复杂的话题Most jurisdict

11、ions have privacy-related laws very large number of laws 大多司法 管辖区都有隐私法Many jurisdictions have extra-territorial laws也会延伸到其大区域Also various multinational frameworks and guidance 也有跨国的构架和建议Threats to privacy are increasing 隐私威胁持续的在增加中More online 线上Social media 社交媒体Big data 大数据Internet of Things (IoT) 物

12、联网Consumer activism is increasing激进的消费者数目在增加中Regulation is increasing 法规也越收越紧What you need to consider你需要考虑：Design of systems and processes: Privacy-by-Design系统是默认-隐私性设计Information security 数据安全Corporate ethics and responsibility企业道德与责任Consumer rights and advocacy消费者权益和拥护Governance管制概念敏捷云业务介绍我们在咨询认证