Мы изучаем идею переноса приложения ASP.NET MVC в Windows Azure, но мне интересно узнать, достаточно ли безопасен SQL Azure для меня, чтобы хранить данные клиентов, такие как их домашние адреса и т. Д.
Мы не храним банковские реквизиты или что-то в этом роде и стремимся использовать возможности облака для масштабируемости, но не хотим, чтобы фактор безопасности был проблемой блокировки.
Есть предположения? Или мне следует шифровать ВСЕ личные данные и расшифровывать каждый раз при доступе?
Я настоятельно рекомендую классифицировать данные, с которыми вы обрабатываете (являются ли имя клиента и его домашний адрес PII?), И понимать соответствующие государственные и федеральные постановления об отправке этих данных третьей стороне. Защищаются не только «банковские реквизиты».
Закон штата Массачусетс может потребовать, чтобы данные передавались в зашифрованном виде для любого жителя. Видеть 201 CMR 17.00. Закон штата Невада может потребовать, чтобы некоторая информация была защищена и для жителей. См. NV SB347. CA SB 1386 предъявляет определенные требования, если есть основания полагать, что данные резидента были [...] получены неуполномоченным лицом ». Если у вас есть незашифрованные данные в облаке, и поставщик сообщает о неуказанном нарушении, вам, возможно, придется уведомить клиентов.
Это всего лишь несколько примеров того, что там есть. Итак, (1) поймите, какие данные у вас есть, и (2) поймите, каковы ваши законодательные и нормативные требования, которые помогут обосновать ваше решение.
Для получения дополнительной информации об облаке см. CSA и Облачный проект OWASP.
Я был на небольшой конференции по безопасности с представителями Microsoft, Google и т. Д. Если вы спросите их, они скажут, что это безопасно, и, вероятно, будут правы.
Я не думаю, что их платформы технически недостаточны, когда речь идет о безопасности, но у Microsoft есть полный доступ к вашим данным. Однако у них есть меры, которые ограничивают то, как и когда их сотрудники могут получить к нему доступ.
Есть много приложений, размещенных в облаке, я думаю, его безопасно использовать, если вы не имеете дело с чем-то особенно секретным, например, с медицинскими записями. Тогда это, вероятно, даже не законно в некоторых странах.
В конце концов, речь идет о доверии другой компании, которая позаботится о ваших данных за вас.