Security policies for cloud computing

Abstract

The massive technological developments in world trade and the need for personal information to cross international borders highlighted the need to define security policies and propose specific regulations to enhance the protection of citizens' personal data. A technological breakthrough, which creates challenges to the protection of personal data, is Cloud Computing. The main feature of Cloud Computing is that it allows on-demand network access to computing resources with minimal management effort or service provider interaction. This new era gives new dimensions to international transfers of personal data and for this reason it has become necessary to establish a Security Policy for Cloud Computing services. For the new era of Cloud Computing, the purpose of a Security Policy is to protect people and information, set rules for expected behavior by users, minimize risks and help to track compliance with regulation. This thesis proposes a Methodology that can be adopted for the development of a Cloud Security Policy, in respect to data security. Specifically focused on the model of Software-as-a-Service (SaaS), this thesis is intended to serve as a Framework for organizations, users, Cloud Providers and provide a baseline for the Security Policy of Cloud Computing. We address the security requirements that are specific to Cloud Environment, highlight how these requirements link to our Cloud Security Policy and recommend, the measures and the corresponding security policies. Furthermore, it proposes a method that can be adopted by Cloud Providers for auditing the security of their systems as, security is one of the core competencies of the Cloud Provider.

Οι μαζικές τεχνολογικές εξελίξεις του παγκόσμιου εμπορίου και η ανάγκη διασυνοριακής κίνησης των προσωπικών πληροφοριών, δημιουργούν την ανάγκη να καθοριστούν πολιτικές ασφαλείας και να προταθούν ειδικοί κανονισμοί για την ενίσχυση της προστασίας των προσωπικών δεδομένων των πολιτών. Ένα τέτοιο τεχνολογικό επίτευγμα, το οποίο δημιουργεί προκλήσεις στην προστασία των προσωπικών δεδομένων, είναι το Nέφος Υπολογιστών (Cloud Computing). Το κύριο χαρακτηριστικό του είναι ότι επιτρέπει εύκολη και κατά απαίτηση πρόσβαση στο δίκτυο σε υπολογιστικούς πόρους, ανεξάρτητα από το πού βρίσκονται τα δεδομένα, η οποία μπορεί να τροφοδοτηθεί γρήγορα και να υπάρξει με την ελάχιστη προσπάθεια διαχείρισης ή αλληλεπίδραση παροχής υπηρεσιών.Η κατάσταση αυτή δίνει νέες διαστάσεις στη διασυνοριακή κίνηση των προσωπικών δεδομένων και για το λόγο αυτό έχει γίνει αναγκαίος ο καθορισμός της πολιτικής ασφαλείας των υπηρεσιών του Νέφους. Για την νέα εποχή του Νέφους, ο σκοπός της πολιτικής ασφάλειας είναι να προστατεύσει τους ανθρώπους και τις πληροφορίες, να θέσει κανόνες για την αναμενόμενη συμπεριφορά των χρηστών, να ελαχιστοποιήσει τους κινδύνους και να βοηθήσει στην παρακολούθηση των συμμορφώσεων με τους κανονισμούς. Αυτή η διατριβή προτείνει μια μεθοδολογία που μπορεί να υιοθετηθεί για την ανάπτυξη μιας γενικότερης πολιτικής ασφαλείας συστήματος Νέφους Υπολογιστών, με στόχο πάντα την ασφάλεια των δεδομένων. Πιο συγκεκριμένα, επικεντρώνεται ειδικά στο μοντέλο υπηρεσιών του Software-as-a-Service (SaaS). Στην ακόλουθη έρευνα, παρατίθενται οι απειλές και οι απαιτήσεις ασφαλείας που ισχύουν μόνο για τα Περιβάλλοντα Νέφους Υπολογιστών, και προτείνονται μέτρα και αντίστοιχες πολιτικές ασφαλείας για την αποφυγή τους. Επιπλέον, προτείνεται μια μέθοδος που θα μπορούσε να υιοθετηθεί από τους Παρόχους υπηρεσιών Νέφους για τον έλεγχο της ασφάλειας των συστημάτων τους, αφού η ασφάλεια είναι έναν από τα βασικότερα προβλήματα τους.