帮助用户符合GDPR要求AWS在台说明相关安全法遵服务

欧盟GDPR这套号称最严格的个人资料保护法，已经正式实施一个月，各云端大型业者为了帮助用户能对应此一法规遵循，也早已採取行动，像是去年3月26日，云端服务厂商AWS（Amazon Web Services）就在官网宣布，旗下所有服务皆符合GDPR，他们并在去年12月底，发布GDPR Center网站与相关白皮书。

对于台湾企业用户而言，要理解这些白皮书的内容，可能需花费许多时间。不过，近日（6月28、29日）于台北国际会议中心举行的AWS高峰会，也包含AWS服务与GDPR的介绍，具体说明相关事项，以及在AWS服务中，有那些工具或服务，能帮助企业用于GDPR法遵。

在AWS官方网站，已设有一般资料保护规範（GDPR）中心的网页，提供相关白皮书的下载，并将AWS环境的GDPR法规遵循焦点，放在六大层面，分别是加密、监控和记录、存取控制、资料隐私权、安全的设计与认证和计画。这里关于GDPR的相关资源、分类，其实不少。

在AWS Summit 2018台北的会场上，AWS解决方案架构师Rebeker Choi，则是以简单的方式，带领与会者了解GDPR的概念，说明GDPR对个人与公司的发展业务的影响，包括像是资料可携带权（The right to data portability）、被遗忘的权利 (The right to be forgotton)、隐私保护设计（Privacy by Design）与资料外洩通知（data breach notification）。

同时也强调了资料保护的责任，在GDPR规範下，一般蒐集、处理和利用个资的组织，可分成资料控制者（Data Controller）和资料处理者（Data Processor）这两种角色。以AWS的角色而言，就是资料处理者，提供基础架构的安全，而使用AWS的企业用户是资料控制者，也将有权利与责任，确保其所控制资料的处理方式符合 GDPR 原则。不过，如果企业用户是建构在AWS平台的SaaS服务提供者，则将同时兼具两种角色。

因此，关于上述个人资料保护，AWS也已经提供了服务，帮助企业用户去做到符合GDPR的要求。现场，AWS解决方案架构师高翊凯，也逐一解释GDPR与AWS服务间的关联，包括资料存取、监控、资料加密或是金钥管理等细节。这也是AWS首次在台湾，透过大型活动向台湾企业用户，强调他们在因应GDPR方面，如何协助企业用户解决法规遵循的难题。

在AWS服务体系中，目前包含超过125种服务，企业用户要如何降低企业在个资管控上的複杂度？资料加密就是重点。

在现行的系统架构下，资料加密可分成两个层次来看，一是传输过程是否加密，二是资料进到服务端储存要如何加密。

简单来说，AWS的建议是，传输部分要尽可能透过HTTPS、TLS的加密机制，而储存的部分则可透过各种的加密机制，来确保资料不会洩漏。

不过，任何一种加密技术都会需要一把加密金钥、一个凭证来加密，但如何保存这个加密金钥，就是关键。将这把金钥再做另一次加密，似乎不能完全解决问题。

AWS提供的解法，是运用他们提供的Key Management Service（KMS）服务，帮助企业用户解决加密金钥的管理问题。因此，这把金钥虽然不能随意流通，但可以使用AWS任何服务的API来获取这把金钥。另外，如果企业的业务应用是必需遵循HIPPA、PCI DSS类型的法规要求，或是要达到更高加密需求，AWS也提供了云端硬体安全模组AWS CloudHSM，能以真正实体区隔的硬体加密，在更高安全的环境来产生加密与使用金钥。

另一方面，云端平台上的活动记录监控也很重要。传统企业用户在监管所有业务应用时，可能检视每一个使用者的登入、操作历程，与资料流向的状态。在云端上，AWS也提供了一项服务名为CloudTrail，是记录AWS帐户API呼叫的服务，可帮助企业将所有使用者的一举一动记录下来。高翊凯特别提醒，尽量避免多人混用同一个帐号，因为这将带来不易管理的问题。

其他活动监控的工具，还包括像是Amazon CloudWatch与AWS Config。前者是监控和预警平台，可统一管理和维运AWS云端与本地资源、服务和业务系统；后者则可以帮助企业做合规的检查跟稽核，例如有一些资料存储区，都是属于个人身分资讯（Personally Identifiable Information，PII）的资料类型，因此企业将能利用Config的功能，定义指定範围的档案需要加密，日后Config就能自动扫描指定存储区的档案，是否经过完善加密，否则将收到一连串的通知与警告。

更具体来看，从GDPR这样的议题中，在AWS服务的搭配应用上，AWS表示，可从四大面向来看：包括资料存取控制（Data Access Control）、存取活动监控（Monitoring of Access Activities）、资料加密（Data Encryption），以及高要求的合规框架（Strong Compliance Framework）。在这4个面向当中，AWS也都提供相关工具或服务，方便企业用户可以解决法规遵循的问题。

首先，为了要做资料保护，第一个面向就是在资料的存取保护，AWS提供的是Identity and Access Management（IAM），可方便企业用户控制使用者存取AWS 服务，像是针对不同的人，或不同的角色，定义不同的政策，以存取不同的资源。

同时，AWS还提供Security Token Service（STS）与AssumeRole API，协助验证使用者身分的合法性。其中，STS可针对请求的来源，提供一个简单的Token，来取得暂时授权，而从API的角度来看，企业也可自己限定，限定特定请求来源才能提出资源请求。

第二面向是在存取活动监控，例如，透过AWS提供的CloudTrail，记录每个使用者在AWS服务的各项历程，其他工具还包括Inspector、Macie与AWS Config，或是藉由AWS Cloudwatch快速监看整体操作状态。

特别的是，AWS在去年底还推出GuardDuty的威胁侦测服务，它能查找在AWS所有帐户运行的状态，监控不寻常的API呼叫或可能未经授权的安装部署等活动，启用后就能自动产生报表，不需要太多的手动设定。

第三部分是资料加密，但这里首先要釐清的问题是，为了因应GDPR，是否所有服务上的资料全部都要加密？这其实也是经常被讨论的话题，但如果对所有资料加密，意味着成本与维运成本会大幅增加。因此，将PII相关的资料做集中的隔离存取，减少加密的範围，会是AWS比较建议的作法。

同时，这也是企业导入GDPR常遇到的问题。高翊凯举例，像是有企业的业务应用涉及了超过10到20个资料库，还有为数不少的档案伺服器，而该企业的PII资料是散落在所有的主机上。因此，该如何面对使用者资料被遗忘权的配置？以及又要如何在最短的时间内，找到那些资料有问题？

对此，他建议要做两件事，首先是对企业内的PII资源进行标记（tagging），日后要找问题或是风险点，就能从这些地方快速着手。同时，企业要趁这个阶段，将风险的部分尽量调整隔离开来，未来就可以快速找到受影响的服务，或是做紧急的处理。

至于AWS的资料加密服务，目前已经包含在EBS、S3、Glacier、RDS等服务之中，像是可在虚拟主机上挂载一个磁碟，而这个磁碟就可以做加密保护。

特别的是在储存过程中，AWS可能在不同的服务之间抓取资料运算，过程当中的加密也很重要，而在Amazon Elastic MapReduce（EMR）的整个服务中，将可处理Amazon S3伺服器端和用户端加密。当然，更关键的是，这些资料加密所需的金钥要如何管理，就可以搭配先前提到的AWS KMS功能，以减少企业唯一金钥的管理负担。

第四部分是法规遵循与规範要求，这也是目前市面上所有大型云端业者，几乎都会强调他们的部分，AWS也不例外。在近期的GDPR之外，过去他们也通过各大资安合规要求，像是ISO 27017的安全云端环境建置，以及ISO 27018的个人隐私资料保护，甚至是德国C5标準。

另外，在GDPR的议题上，AWS服务上还有两种类型的合作伙伴，可为企业带来更多的帮助，分别是顾问公司合作伙伴，以及技术合作伙伴，这将是企业也能利用的面向。

综合而言，面对GDPR，不仅是云端服务厂商，企业在责任重点分为资料控制者（Data Controller）以及资料处理者（Data Processor）等两层面，两者需密切的合作，搭配所有的工具，以及合作伙伴体系的协作，促进企业朝向更高要求的法规遵循迈进。