欧盟GDPR这套号称最严格的个人资料保护法,已经正式实施一个月,各云端大型业者为了帮助用户能对应此一法规遵循,也早已採取行动,像是去年3月26日,云端服务厂商AWS(Amazon Web Services)就在官网宣布,旗下所有服务皆符合GDPR,他们并在去年12月底,发布GDPR Center网站与相关白皮书。
对于台湾企业用户而言,要理解这些白皮书的内容,可能需花费许多时间。不过,近日(6月28、29日)于台北国际会议中心举行的AWS高峰会,也包含AWS服务与GDPR的介绍,具体说明相关事项,以及在AWS服务中,有那些工具或服务,能帮助企业用于GDPR法遵。
在AWS官方网站,已设有一般资料保护规範(GDPR)中心的网页,提供相关白皮书的下载,并将AWS环境的GDPR法规遵循焦点,放在六大层面,分别是加密、监控和记录、存取控制、资料隐私权、安全的设计与认证和计画。这里关于GDPR的相关资源、分类,其实不少。
在AWS Summit 2018台北的会场上,AWS解决方案架构师Rebeker Choi,则是以简单的方式,带领与会者了解GDPR的概念,说明GDPR对个人与公司的发展业务的影响,包括像是资料可携带权(The right to data portability)、被遗忘的权利 (The right to be forgotton)、隐私保护设计(Privacy by Design)与资料外洩通知(data breach notification)。
同时也强调了资料保护的责任,在GDPR规範下,一般蒐集、处理和利用个资的组织,可分成资料控制者(Data Controller)和资料处理者(Data Processor)这两种角色。以AWS的角色而言,就是资料处理者,提供基础架构的安全,而使用AWS的企业用户是资料控制者,也将有权利与责任,确保其所控制资料的处理方式符合 GDPR 原则。不过,如果企业用户是建构在AWS平台的SaaS服务提供者,则将同时兼具两种角色。
因此,关于上述个人资料保护,AWS也已经提供了服务,帮助企业用户去做到符合GDPR的要求。现场,AWS解决方案架构师高翊凯,也逐一解释GDPR与AWS服务间的关联,包括资料存取、监控、资料加密或是金钥管理等细节。这也是AWS首次在台湾,透过大型活动向台湾企业用户,强调他们在因应GDPR方面,如何协助企业用户解决法规遵循的难题。
在AWS服务体系中,目前包含超过125种服务,企业用户要如何降低企业在个资管控上的複杂度?资料加密就是重点。
在现行的系统架构下,资料加密可分成两个层次来看,一是传输过程是否加密,二是资料进到服务端储存要如何加密。
简单来说,AWS的建议是,传输部分要尽可能透过HTTPS、TLS的加密机制,而储存的部分则可透过各种的加密机制,来确保资料不会洩漏。
不过,任何一种加密技术都会需要一把加密金钥、一个凭证来加密,但如何保存这个加密金钥,就是关键。将这把金钥再做另一次加密,似乎不能完全解决问题。
AWS提供的解法,是运用他们提供的Key Management Service(KMS)服务,帮助企业用户解决加密金钥的管理问题。因此,这把金钥虽然不能随意流通,但可以使用AWS任何服务的API来获取这把金钥。另外,如果企业的业务应用是必需遵循HIPPA、PCI DSS类型的法规要求,或是要达到更高加密需求,AWS也提供了云端硬体安全模组AWS CloudHSM,能以真正实体区隔的硬体加密,在更高安全的环境来产生加密与使用金钥。
另一方面,云端平台上的活动记录监控也很重要。传统企业用户在监管所有业务应用时,可能检视每一个使用者的登入、操作历程,与资料流向的状态。在云端上,AWS也提供了一项服务名为CloudTrail,是记录AWS帐户API呼叫的服务,可帮助企业将所有使用者的一举一动记录下来。高翊凯特别提醒,尽量避免多人混用同一个帐号,因为这将带来不易管理的问题。
其他活动监控的工具,还包括像是Amazon CloudWatch与AWS Config。前者是监控和预警平台,可统一管理和维运AWS云端与本地资源、服务和业务系统;后者则可以帮助企业做合规的检查跟稽核,例如有一些资料存储区,都是属于个人身分资讯(Personally Identifiable Information,PII)的资料类型,因此企业将能利用Config的功能,定义指定範围的档案需要加密,日后Config就能自动扫描指定存储区的档案,是否经过完善加密,否则将收到一连串的通知与警告。
更具体来看,从GDPR这样的议题中,在AWS服务的搭配应用上,AWS表示,可从四大面向来看:包括资料存取控制(Data Access Control)、存取活动监控(Monitoring of Access Activities)、资料加密(Data Encryption),以及高要求的合规框架(Strong Compliance Framework)。在这4个面向当中,AWS也都提供相关工具或服务,方便企业用户可以解决法规遵循的问题。
首先,为了要做资料保护,第一个面向就是在资料的存取保护,AWS提供的是Identity and Access Management(IAM),可方便企业用户控制使用者存取AWS 服务,像是针对不同的人,或不同的角色,定义不同的政策,以存取不同的资源。
同时,AWS还提供Security Token Service(STS)与AssumeRole API,协助验证使用者身分的合法性。其中,STS可针对请求的来源,提供一个简单的Token,来取得暂时授权,而从API的角度来看,企业也可自己限定,限定特定请求来源才能提出资源请求。
第二面向是在存取活动监控,例如,透过AWS提供的CloudTrail,记录每个使用者在AWS服务的各项历程,其他工具还包括Inspector、Macie与AWS Config,或是藉由AWS Cloudwatch快速监看整体操作状态。
特别的是,AWS在去年底还推出GuardDuty的威胁侦测服务,它能查找在AWS所有帐户运行的状态,监控不寻常的API呼叫或可能未经授权的安装部署等活动,启用后就能自动产生报表,不需要太多的手动设定。
第三部分是资料加密,但这里首先要釐清的问题是,为了因应GDPR,是否所有服务上的资料全部都要加密?这其实也是经常被讨论的话题,但如果对所有资料加密,意味着成本与维运成本会大幅增加。因此,将PII相关的资料做集中的隔离存取,减少加密的範围,会是AWS比较建议的作法。
同时,这也是企业导入GDPR常遇到的问题。高翊凯举例,像是有企业的业务应用涉及了超过10到20个资料库,还有为数不少的档案伺服器,而该企业的PII资料是散落在所有的主机上。因此,该如何面对使用者资料被遗忘权的配置?以及又要如何在最短的时间内,找到那些资料有问题?
对此,他建议要做两件事,首先是对企业内的PII资源进行标记(tagging),日后要找问题或是风险点,就能从这些地方快速着手。同时,企业要趁这个阶段,将风险的部分尽量调整隔离开来,未来就可以快速找到受影响的服务,或是做紧急的处理。
至于AWS的资料加密服务,目前已经包含在EBS、S3、Glacier、RDS等服务之中,像是可在虚拟主机上挂载一个磁碟,而这个磁碟就可以做加密保护。
特别的是在储存过程中,AWS可能在不同的服务之间抓取资料运算,过程当中的加密也很重要,而在Amazon Elastic MapReduce(EMR)的整个服务中,将可处理Amazon S3伺服器端和用户端加密。当然,更关键的是,这些资料加密所需的金钥要如何管理,就可以搭配先前提到的AWS KMS功能,以减少企业唯一金钥的管理负担。
第四部分是法规遵循与规範要求,这也是目前市面上所有大型云端业者,几乎都会强调他们的部分,AWS也不例外。在近期的GDPR之外,过去他们也通过各大资安合规要求,像是ISO 27017的安全云端环境建置,以及ISO 27018的个人隐私资料保护,甚至是德国C5标準。
另外,在GDPR的议题上,AWS服务上还有两种类型的合作伙伴,可为企业带来更多的帮助,分别是顾问公司合作伙伴,以及技术合作伙伴,这将是企业也能利用的面向。
综合而言,面对GDPR,不仅是云端服务厂商,企业在责任重点分为资料控制者(Data Controller)以及资料处理者(Data Processor)等两层面,两者需密切的合作,搭配所有的工具,以及合作伙伴体系的协作,促进企业朝向更高要求的法规遵循迈进。
