云安全
关注云安全:在数字化世界中保护公司敏感数据的战略、架构和合同模式
数据是现代数字化经济的工具,是企业(私营部门)的新黄金,也是国家(公共部门)的新黄金。在当今的数字化世界中,新的数据集源源不断地出现在互联网上。其中一些数据记录与代表数字身份的个人数据有关。公司真正的艺术在于如何仔细过滤这些数据,尤其是如何存储这些数据。本短文旨在从公司角度展示云中的数据及其处理方式。此外,这篇短文还介绍了该行业采取哪些类型的合同、架构和适当的安全措施来防范网络攻击,从而为自身的数据处理奠定坚实的基础。 在深入探讨云安全话题之前,我们首先有必要了解一些有关云计算、云计算的工作原理和云结构的关键信息:"云计算是一种数据处理模式,可用于根据需要随时随地通过网络方便地访问可配置计算资源(如网络、服务器、存储系统、应用程序和服务)的共享池。这些资源可以快速提供,只需最少的管理工作或与服务提供商的互动。云有三种类型(基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(Saas))。云的类型取决于提供的类型(私有云、社区云、公共云、混合云)"[1]。 在云计算领域,有不同类型的供应,即云提供商如何向用户提供云服务。与云计算相关的主要模式有四种: 1. 公共云公共云使所有用户都能访问计算机资源,如硬件(操作系统、CPU、内存)或软件(应用服务器、数据库)。实际用例包括开发和测试用于关键和非关键任务的应用程序,如文件共享和电子邮件服务。 2. 私有云私有云通常由单个组织明确使用,既可由内部管理,也可由外部 IT 服务提供商管理。虽然由于购置和维护方面的投资,私有云通常比公共云昂贵,但它们能更有效地解决组织在安全和数据保护方面的问题。 3. 混合云(物理数据中心或外部私有云和/或公共云的混合形式)混合云同时利用私有云和公共云基础设施。企业选择这种模式可根据需要快速扩展其 IT 基础设施。例如,在线零售商可以在节假日期间使用公共云资源来补充或缓解其私有云的容量。 4 社区云社区云支持多个组织共同使用计算机资源。例如,这些组织包括在特定 研究领域开展合作 的大学 或共享资源的国家行为者(如一个地区内的警察部门)。社区云的访问仅限于社区成员。 对最终用户而言,公共云的成本一向较低,无需大量投资。另一方面,私有云确实需要投资,但与自身基础设施的运营成本相比,可从根本上节省成本。原则上节省了成本。私有云还能保证比公共云更高的安全性和合规性。合规支持。这就是为什么一些组织将私有云用于关键业务或更敏感的数据和应用,而将公共云用于应用程序开发、测试环境和电子邮件服务等基本任务。[2] 混合云解决方案是将网络攻击风险最小化或多样化的好方法。与纯粹使用公共云相比,混合云可为您提供更强的安全控制。此外,混合云基础设施还提供了在私人服务器上设置个人安全标准和配置定制软件的选择。在私有服务器上定制软件配置。这种分布可提高系统可靠性,更好地评估系统问题。 此外,与现场购买和维护服务器相比,成本效益更高。[3] 云服务架构模式考虑到混合云解决方案的这些优势(从增强安全控制到提高可靠性),了解不同的云服务架构非常重要。这些架构,即基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS),提供不同级别的服务交付,并规定了不同的合规责任。 基础设施即服务(IaaS)IaaS 提供商提供基本的计算、存储和网络基础设施以及用于虚拟化的管理程序。虚拟化管理程序。用户负责创建和管理虚拟实例、安装操作系统、提供应用程序和数据以及整个配置。IaaS 对中小型公司都很有吸引力。云基础设施操作简单,无需内部操作,是购买自有硬件的一种经济有效的替代方案。 例如DigitalOcean、AWS、Azure、Google Compute Engine。 2 平台即服务(PaaS)与 IaaS 相比,PaaS 提供商通过添加操作系统和中间件(如数据库)来扩展应用堆栈。用户更专注于应用程序的开发。平台管理底层基础设施。 例如AWS Elastic Beanstalk、Google App Engine。 3. 软件即服务(SaaS)SaaS 提供商提供完整的应用程序堆栈。用户可以通过网络浏览器访问完全托管的应用程序。工作负载和 IT 资源的管理完全由 SaaS 提供商控制,而用户可以明确控制应用程序创建的数据。 例如:ABusiness Suite、Salesforce、Dropbox、Google Workspace。[4] 合同法中的云立法者尚未在法律中明确涉及 SaaS 合同。迄今为止,SaaS 合同在法律上只能归类为混合合同,包括服务合同、工作合同和租赁合同。因此,适用的法律领域取决于合同中相应的服务部分。SaaS 合同的核心内容主要在于租赁法,因为软件的提供最好比作租赁法下的财产转让。由于软件不被视为租赁法意义上的 "物",目前的观点认为,SaaS 合同代表的是为使用而进行的临时转让。这与租赁法的规定和追求的目标相一致。[5] PaaS 合同主要以服务水平协议 (SLA) 为特征,其中包括服务级别协议(SLA)是服务的最低标准,规定了合同双方的权利和义务。 数据保护和数据安全起着至关重要的作用,因为 PaaS 服务通常涉及敏感数据的处理。合同中必须包含有关保护个人数据。在合同中明确规定谁拥有所创建应用程序的知识产权也很重要,通常用户保留应用程序的所有权,而提供商保留平台的所有权。[6] 结论无论您是初创企业、风险投资公司、中小型企业还是大型公司,云安全对每个组织都至关重要。 作为公司,不仅要考虑与哪些云提供商合作提供商,还要考虑设定了哪些框架条件。 归根结底,安全并不只是云技术服务提供商本身的责任,公司员工在云安全方面也扮演着同样重要的角色。 必须定期投资对员工进行培训,提高他们的认识,确保他们掌握处理安全政策和程序所需的诀窍。不过,要充分发挥云的潜力,企业既要投资维护自己或外部合作伙伴的系统,也要投资招聘新的 IT 人员。这样,公司就能确保系统安全,从而提高客户满意度,从长远来看,还能提高公司的声誉。 在选择外部云计算提供商时,公司的一个主要症结一直是依赖外国供应商及其数据保护法规。公司应对这一挑战的措施包括:彻底检查数据保护准则、混合云方法以最大限度地降低风险、评估安全措施和提供商认证、数据保护影响评估、定期监控和审计以及为可能发生的数据保护违规行为做好准备。这些策略因公司规模和行业而异,但都是为了在使用外部云服务时确保数据保护合规性并将潜在风险降至最低。 资料来源列表
了解云--你知道什么是公共云,什么是混合云吗?(2023) 什么是 IaaS?定义和趣闻 平台即服务(PaaS)(2022年) 起草 SaaS 合同时应注意的事项 (2022) 平台即服务合同(PaaS 合同):指南 (2023) [1]cf. https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist[3]参见/(2023 年) [4]参见 https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/ 和 https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS(2022) 与该主题相关的文章为什么优化的业务流程对你的公司很重要?哪种备份类型是我的数据的最佳选择? 这就是数据备份在现实生活中的重要性 这篇文章涵盖了这些主题。 |
|