云安全之法律和合规

0x00 前言

本文主要内容是从法律，合同，电子举证，以及合规和审计这五个部分来记录一下相关的云安全内容

0x01 法律

受法律约束的影响因素

• 云服务所在的地区
• 云用户所在的区域
• 数据主体所在的区域

GDPR：通用数据保护法案，2016年5月4日发布，2018年5月25日生效。

云客户需要关心的内容包括：可适用的服务水平、最终用户、和法律协议，隐私政策，安全的披露，与适用法律符合的证据

• 该服务将是可靠的，易于使用?
• 服务器将如何处理数据?
• 服务将如何运作和提供?
• 数据是否与其他客户的数据相匹配?
• 如何将数据保护免受入侵或灾害。价格如何随时间演变?
• 云供应商将满足公司的计算和访问需求吗?
• 云供应商将在未来几年保持业务吗?
• 其财务状况如何?
• 将提供哪些服务水平?
• 使用什么安全措施?
• 在破坏安全的情况下会发生什么?

0x02 合同

主张在于选取云服务的时候，需要有一个法律认可的合同，以此来进行部分风险规避的操作。
否则没有法律作为背书，则无法达到责任共担的情况。

0x03 电子举证

这里主要是针对美国的电子取证，云服务商会作为证据的保存者，从而承担一部分证据的保存和处理的责任。

可搜索性和电子取证工具

云服务商有责任保存数据，但是没有责任要给客户直接搜索的权利，往往客户需要去申请或者付费去使用一些搜索的权限，这一部分以申请居多，比如查询我这个账号的登录ip时间地点等。

保存

一般情况下，云服务商必须要保留一定时间的证据从而达到法律的最低要求，比如180天。
并且保存的数据不应该随意的被修改，且要有修改记录等

采集

采集的数据务必要准确且完整，否则就会后续数据的生命周期出问题，从而引起一系列的问题。

0x04 小结

总的来说，三个部分，满足法律，合同约束，满足取证要求，实际上取证要求和法律是有重叠的部分，包括国内其实也是最低要求180天的存储要求。

0x05 合规

比较重要的两点：
第一点在于责任共担，每一层云使用者都只需要关注自己的那一层的合规责任即可。
第二点在于合规传承，就是如果底层云服务提供商，那么高层的云服务商都同步拥有此合规内容。

0x06 审计

审计和保证是证明符合内部或外部要求(或识别缺陷)的合规性的机制。

和传统的审计区别在于，用户自己提供需要审计的内容，然后找第三方代理区进行审计。

云上则是，由上层云服务商提供想对应的资料交由用户自行审计。然后用户再进行对应的审计或者交由第三方审计的操作