歐盟GDPR這套號稱最嚴格的個人資料保護法,已經正式實施一個月,各雲端大型業者為了幫助用戶能對應此一法規遵循,也早已採取行動,像是去年3月26日,雲端服務廠商AWS(Amazon Web Services)就在官網宣布,旗下所有服務皆符合GDPR,他們並在去年12月底,發布GDPR Center網站與相關白皮書。

對於臺灣企業用戶而言,要理解這些白皮書的內容,可能需花費許多時間。不過,近日(6月28、29日)於臺北國際會議中心舉行的AWS高峰會,也包含AWS服務與GDPR的介紹,具體說明相關事項,以及在AWS服務中,有那些工具或服務,能幫助企業用於GDPR法遵。

在AWS官方網站,已設有一般資料保護規範(GDPR)中心的網頁,提供相關白皮書的下載,並將AWS環境的GDPR法規遵循焦點,放在六大層面,分別是加密、監控和記錄、存取控制、資料隱私權、安全的設計與認證和計畫。這裡關於GDPR的相關資源、分類,其實不少。

在AWS Summit 2018臺北的會場上,AWS解決方案架構師Rebeker Choi,則是以簡單的方式,帶領與會者瞭解GDPR的概念,說明GDPR對個人與公司的發展業務的影響,包括像是資料可攜帶權(The right to data portability)、被遺忘的權利 (The right to be forgotton)、隱私保護設計(Privacy by Design)與資料外洩通知(data breach notification)。

同時也強調了資料保護的責任,在GDPR規範下,一般蒐集、處理和利用個資的組織,可分成資料控制者(Data Controller)和資料處理者(Data Processor)這兩種角色。以AWS的角色而言,就是資料處理者,提供基礎架構的安全,而使用AWS的企業用戶是資料控制者,也將有權利與責任,確保其所控制資料的處理方式符合 GDPR 原則。不過,如果企業用戶是建構在AWS平臺的SaaS服務提供者,則將同時兼具兩種角色。

因此,關於上述個人資料保護,AWS也已經提供了服務,幫助企業用戶去做到符合GDPR的要求。現場,AWS解決方案架構師高翊凱,也逐一解釋GDPR與AWS服務間的關聯,包括資料存取、監控、資料加密或是金鑰管理等細節。這也是AWS首次在臺灣,透過大型活動向臺灣企業用戶,強調他們在因應GDPR方面,如何協助企業用戶解決法規遵循的難題。

在AWS服務體系中,目前包含超過125種服務,企業用戶要如何降低企業在個資管控上的複雜度?資料加密就是重點。

在現行的系統架構下,資料加密可分成兩個層次來看,一是傳輸過程是否加密,二是資料進到服務端儲存要如何加密。

簡單來說,AWS的建議是,傳輸部分要盡可能透過HTTPS、TLS的加密機制,而儲存的部分則可透過各種的加密機制,來確保資料不會洩漏。

不過,任何一種加密技術都會需要一把加密金鑰、一個憑證來加密,但如何保存這個加密金鑰,就是關鍵。將這把金鑰再做另一次加密,似乎不能完全解決問題。

AWS提供的解法,是運用他們提供的Key Management Service(KMS)服務,幫助企業用戶解決加密金鑰的管理問題。因此,這把金鑰雖然不能隨意流通,但可以使用AWS任何服務的API來獲取這把金鑰。另外,如果企業的業務應用是必需遵循HIPPA、PCI DSS類型的法規要求,或是要達到更高加密需求,AWS也提供了雲端硬體安全模組AWS CloudHSM,能以真正實體區隔的硬體加密,在更高安全的環境來產生加密與使用金鑰。

另一方面,雲端平臺上的活動記錄監控也很重要。傳統企業用戶在監管所有業務應用時,可能檢視每一個使用者的登入、操作歷程,與資料流向的狀態。在雲端上,AWS也提供了一項服務名為CloudTrail,是記錄AWS帳戶API呼叫的服務,可幫助企業將所有使用者的一舉一動記錄下來。高翊凱特別提醒,盡量避免多人混用同一個帳號,因為這將帶來不易管理的問題。

其他活動監控的工具,還包括像是Amazon CloudWatch與AWS Config。前者是監控和預警平臺,可統一管理和維運AWS雲端與本地資源、服務和業務系統;後者則可以幫助企業做合規的檢查跟稽核,例如有一些資料存儲區,都是屬於個人身分資訊(Personally Identifiable Information,PII)的資料類型,因此企業將能利用Config的功能,定義指定範圍的檔案需要加密,日後Config就能自動掃描指定存儲區的檔案,是否經過完善加密,否則將收到一連串的通知與警告。

更具體來看,從GDPR這樣的議題中,在AWS服務的搭配應用上,AWS表示,可從四大面向來看:包括資料存取控制(Data Access Control)、存取活動監控(Monitoring of Access Activities)、資料加密(Data Encryption),以及高要求的合規框架(Strong Compliance Framework)。在這4個面向當中,AWS也都提供相關工具或服務,方便企業用戶可以解決法規遵循的問題。

首先,為了要做資料保護,第一個面向就是在資料的存取保護,AWS提供的是Identity and Access Management(IAM),可方便企業用戶控制使用者存取AWS 服務,像是針對不同的人,或不同的角色,定義不同的政策,以存取不同的資源。

同時,AWS還提供Security Token Service(STS)與AssumeRole API,協助驗證使用者身分的合法性。其中,STS可針對請求的來源,提供一個簡單的Token,來取得暫時授權,而從API的角度來看,企業也可自己限定,限定特定請求來源才能提出資源請求。

第二面向是在存取活動監控,例如,透過AWS提供的CloudTrail,記錄每個使用者在AWS服務的各項歷程,其他工具還包括Inspector、Macie與AWS Config,或是藉由AWS Cloudwatch快速監看整體操作狀態。

特別的是,AWS在去年底還推出GuardDuty的威脅偵測服務,它能查找在AWS所有帳戶運行的狀態,監控不尋常的API呼叫或可能未經授權的安裝部署等活動,啟用後就能自動產生報表,不需要太多的手動設定。

第三部分是資料加密,但這裡首先要釐清的問題是,為了因應GDPR,是否所有服務上的資料全部都要加密?這其實也是經常被討論的話題,但如果對所有資料加密,意味著成本與維運成本會大幅增加。因此,將PII相關的資料做集中的隔離存取,減少加密的範圍,會是AWS比較建議的作法。

同時,這也是企業導入GDPR常遇到的問題。高翊凱舉例,像是有企業的業務應用涉及了超過10到20個資料庫,還有為數不少的檔案伺服器,而該企業的PII資料是散落在所有的主機上。因此,該如何面對使用者資料被遺忘權的配置?以及又要如何在最短的時間內,找到那些資料有問題?

對此,他建議要做兩件事,首先是對企業內的PII資源進行標記(tagging),日後要找問題或是風險點,就能從這些地方快速著手。同時,企業要趁這個階段,將風險的部分盡量調整隔離開來,未來就可以快速找到受影響的服務,或是做緊急的處理。

至於AWS的資料加密服務,目前已經包含在EBS、S3、Glacier、RDS等服務之中,像是可在虛擬主機上掛載一個磁碟,而這個磁碟就可以做加密保護。

特別的是在儲存過程中,AWS可能在不同的服務之間抓取資料運算,過程當中的加密也很重要,而在Amazon Elastic MapReduce(EMR)的整個服務中,將可處理Amazon S3伺服器端和用戶端加密。當然,更關鍵的是,這些資料加密所需的金鑰要如何管理,就可以搭配先前提到的AWS KMS功能,以減少企業唯一金鑰的管理負擔。

第四部分是法規遵循與規範要求,這也是目前市面上所有大型雲端業者,幾乎都會強調他們的部分,AWS也不例外。在近期的GDPR之外,過去他們也通過各大資安合規要求,像是ISO 27017的安全雲端環境建置,以及ISO 27018的個人隱私資料保護,甚至是德國C5標準。

另外,在GDPR的議題上,AWS服務上還有兩種類型的合作伙伴,可為企業帶來更多的幫助,分別是顧問公司合作伙伴,以及技術合作伙伴,這將是企業也能利用的面向。

綜合而言,面對GDPR,不僅是雲端服務廠商,企業在責任重點分為資料控制者(Data Controller)以及資料處理者(Data Processor)等兩層面,兩者需密切的合作,搭配所有的工具,以及合作伙伴體系的協作,促進企業朝向更高要求的法規遵循邁進。


Advertisement

更多 iThome相關內容