Normas y regulaciones específicas de la nube

10

No específico para ninguna industria o requisitos en particular, pero en general, ¿existen estándares aceptados actualmente con respecto a las aplicaciones basadas en la nube?

Estoy * desarrollando un sistema que se implementará en la "nube" (es decir, alojado por un proveedor de IaaS / PaaS, como Amazon EC2).
Además de cualquier reglamento o norma que se aplique específicamente a mi aplicación, ¿hay algún conjunto de directrices (no solo las mejores prácticas) o reglamentos específicos para la arquitectura en la nube que debo cumplir?

Esto es irrelevante para el tipo o contenido de la aplicación, estoy preguntando específicamente acerca de la configuración de la infraestructura de la nube.

La intención principal aquí es cumplir con las expectativas que puedan tener los clientes (empresariales). (Para la seguridad real no confiamos en las regulaciones ...)

(*) Bien, no soy realmente yo, es mi cliente, pero está lo suficientemente cerca.

    
pregunta AviD 21.02.2012 - 11:49
fuente

2 respuestas

4

No conozco ninguno específico de la Nube, sin embargo, definitivamente debería pensar en SoD:

La mayoría de los reglamentos de auditoría financiera requieren la separación de tareas (SoD), y generalmente son relativamente fáciles de administrar en un entorno tradicional. En un entorno virtualizado (estoy viendo el alcance más amplio de la 'nube' aquí), el departamento de TI puede ser administrado por el mismo individuo o equipo, y en realidad puede estar en el mismo servidor, por lo tanto, cuando se ve desde un Perspectiva de la auditoría hay un mayor riesgo de fraude interno. Regulaciones como Sarbanes-Oxley requieren controles estrictos en torno a la separación de tareas, a pesar de no estar expresamente redactadas para TI en entornos virtuales.

Las regulaciones de protección de datos también pueden presentar un problema. A pesar de no ser específico de la nube, estos registros tienden a requerir que la información personal permanezca dentro de jurisdicciones específicas (por ejemplo, Europa, EE. UU., Reino Unido) y, si tiene una "nube" estándar, es posible que no haya ningún control para restringir dónde se almacenan los datos. Por ejemplo, si quisiera almacenar datos personales de clientes del Reino Unido en una nube que está parcialmente en los Estados Unidos, podría fallar en la Ley de Protección de Datos del Reino Unido de 1998.

En términos de las expectativas del cliente, la nube a menudo se promociona como muy resistente, debido a su naturaleza distribuida, sin embargo, las interrupciones ocurren, y cuando lo hacen, usted es completamente dependiente de la clasificación del proveedor de la nube fuera "en la nube". Consulte Interrupción de Amazon en abril de 2011 para ver un ejemplo.

    
respondido por el Rory Alsop 22.02.2012 - 10:21
fuente
3

Hemos consultado a varios en este espacio en los últimos 6 meses. El grupo emergente de materiales de referencia de seguridad en torno a la computación en nube es el enlace

Si está desarrollando una aplicación para utilizar la pila de proveedores de servicios, la CSA ofrece algunas recomendaciones excelentes sobre qué debe preguntarle a su proveedor y qué requisitos mínimos deben incluirse en el Acuerdo de nivel de servicio.

Además, debe ser el proveedor de aplicaciones que realiza todo el marco de seguridad común antes de entregarlo a su Proveedor de servicios: prueba de código, fortalecimiento de la base de datos, autenticación integrada en la aplicación.

Pregunte a su proveedor de servicios acerca de las pruebas de su aplicación web una vez que se active en su infraestructura. Asegúrese de que esté autorizado para probarlo como parte del SLA.

    
respondido por el SecurityCrunch 22.02.2012 - 16:56
fuente

Lea otras preguntas en las etiquetas