私は会社のデューデリジェンスをやっています。それらは完全にクラウドベースであり、ユーザー(SSNを含む)から多くの個人情報を収集する必要があります。これは私が主に気にする必要があることですか?彼らは暗号化を使用していると言い、Azureは安全なプラットフォームです。現在、クラウドストレージの安全性の信頼性、およびセットアップと保守がどれほど複雑かについては、よく知りません。クラウドストレージが適切な予防策でこのデータに適している場合、このトピックについて質問する必要がありますか?
パブリッククラウドの現状を考えると、多くの場合、実際にはオンプレミスストレージよりもmore安全であると主張します。私がマイクロソフトで働いていることは確かですが、私の意見は私の就職以前のものであり、AmazonやGoogleのような競合他社にも及んでいます。データモデルの運用に関する専門知識と卓越性に基づいてビジネスモデルを構築している企業は、ITとデータを厳密に管理するための単なるコストと見なしている企業よりも常に優れており、運用と資産の保護を行っています。
そうは言っても、私が注意深く検討することは間違いなくいくつかあります。
彼らはどのようにデータを暗号化していますか?暗号化は間違いが起こりやすく、データがSSNとして構造化されているため、このような小さなドメインでは、暗号化を誤ると、機密性が大幅に侵害される可能性があります。
彼らはどのようにアクセスを管理していますか?そのためには、アプリケーションとマシンへのアクセス権を持つユーザーだけでなく、リソースグループとサブスクリプションへのアクセス権を持つAzure固有の観点からも確認する必要があります。
キー管理。 AzureはHSMベースのキーストレージを提供します。機密性の高いデータについては、HSMで保護されたKey Vaultを使用していることを確認する必要があります。
Xanderの答えに追加するには、考慮すべきいくつかの点があります。
一部の企業は* aaSで大丈夫です。一部の企業は、特定のレベルのPIIが暗号化なしでオフプレミスを保存してもよいと言ったり、特定のレベルの暗号化を要求したり、そのレベルを超えるとオフプレミスストレージはないと言ったりします。会社にそれらのポリシーがない場合は、それらのポリシーを取得するように勧めます。
マルチテナンシー、またはプラットフォームまたはネットワーク空間で複数の顧客をホスティングします。これにより、トラフィックのピボットとスニッフィングが容易になります。
一部のプロバイダーは、少し(または多く)の追加料金を支払う用意がある場合、専用のインスタンスを提供します。
Xanderが述べたように、一部のプロバイダー(AmazonとMicrosoftは確かにこれを行っていますが、Googleについては知りませんが、おそらく知っています)が鍵管理用のHSMを提供しています。会社はHSMのSEEコードを信頼していますか?会社は、IDの重要なデータを暗号化および復号化するための鍵を提供する用意がありますか?会社はSEEコードを制御できますか?
この会社には成熟したベンダー管理プロセスがありますか?インシデント対応プロセス?これらのプロバイダーのいずれかに違反した場合はどうなりますか?会社のIRチームはプロバイダーと協力することができますか?プロバイダーは、違反が検出された場合に会社に通知する契約に拘束されますか?ログは会社のログ監視ソリューションに転送されますか?そのログ監視ソリューションは監視および保守されていますか?同社には成熟したセキュリティテストとレビュープログラムがありますか?
これらはすべて「安全ですか」以外に質問および回答する必要がある質問です。ポリシー、セキュリティ体制、プロバイダー環境が「安全ですか」に影響を与えるためです。たくさん。