選單
藍色背景上堆疊的紫色方塊

安全性:資料安全原則與程序

目錄

分享本頁

2022 年 4 月

資料安全是建立隱私權與法規遵循的基礎上。在信任中心,我們會清楚說明資料安全原則和程序,這些原則和程序規範著我們如何管理自己的系統、以及客戶委託給我們的資料的安全。

NetApp 遵循全球資料安全法的要求,這些法律要求針對資料的儲存、傳輸和處理採取合理的安全措施。我們採取被廣泛認為達到適當安全性所不可或缺的措施,包括加密、驗證和授權控制、資料外洩報告、資料遺失防範及修補程式管理。

NetApp 提供多種加密解決方案以及加密金鑰管理,其他措施還包括協助貴組織在抵禦勒索軟體威脅時保持彈性的各種策略和工具,以及支援資料量最小化的嚴格資料保留與刪除原則。NetApp 安全研究人員致力於偵測、緩解及回應有關軟體錯誤與安全漏洞的影響。

NetApp 實作這些保護措施來保護其資訊系統,以及其中儲存的資料。此外,我們也依照共同責任模型提供策略、工具和服務,讓客戶能夠同樣做到這一點。

NetApp 致力於打造一個安全且敏捷的平台,讓客戶能夠自信地成長茁壯。

Bill Miller, 資深副總裁暨資訊長, NetApp

在資料導向的世界中分擔責任

當組織從內部部署基礎架構轉型為混合雲、私有雲或公有雲基礎架構時,與雲端服務供應商分擔資料安全責任是這項根本性轉變的重要關鍵。共同責任模型指出了雲端運算環境中應由哪些人負責管理資料安全,包括其機密性、完整性和可用度。

NetApp 身為服務供應商,負責 NetApp 雲端服務的安全作業,例如 NetApp 資料中心的實體安全性,以及修補 SaaS 解決方案中的漏洞。 

我們的客戶可能負責雲端中的安全作業,例如確保在虛擬部署環境中啟用和遵循密碼複雜度等企業原則,就像在內部部署環境中一樣。

NetApp 還提供多種合作夥伴雲端基礎架構供應商的選擇,包括 Amazon Web Services、Microsoft Azure 和 Google Cloud,這些供應商負責管理其產品的安全作業。

安全資料處理以確保符合隱私權要求

全球隱私法要求採取合理的安全措施來儲存、傳輸和處理個人資訊。在美國,合理安全性是特定資訊分類的法定要求,例如財務、健康和其他個人資料,它是規範公平商業實務和美國境外隱私法(例如歐盟 GDPR)的法律基礎。 

雖然沒有明確的標準或工程控制集被歸屬到合理安全性的範疇,但監管機關和法院都承認某些措施是其中不可或缺的環節,這些措施包括加密、驗證和授權控制、資料外洩報告、防止資料遺失和修補程式管理。

NetApp 實作這些保護措施來保護其資訊系統及其中儲存的資料,並建置優質的產品與服務,讓我們的客戶能夠同樣做到這一點。

勒索軟體風險規避

勒索軟體攻擊對組織安全性和資料可用度構成龐大威脅,其成本遠高於所要求的贖金價格。此外還要包括恢復資料、營運中斷成本和營收損失、可能的法律影響,甚至是品牌價值損失等代價。 

勒索軟體的回應策略對於準備此類攻擊至關重要,包括資料備份與還原在內的營運不中斷計畫對於降低勒索軟體攻擊的影響非常重要。與勒索軟體攻擊循環隔離的可行備份是其中的關鍵要素,簡單快速將恢復點目標設為未被感染的資料點有助於防止系統再次感染。 

身為資料儲存領域的全球領導廠商,NetApp 提供廣泛的策略、工具和服務,協助貴組織抵禦勒索軟體威脅、減輕恢復工作負荷,並能大幅縮短恢復時間。

NetApp 安全開發生命週期

安全漏洞已在整個電腦產業和全球的企業與組織中受到廣泛認識,NetApp 透過建立安全開發生命週期 (SDL) 解決了安全漏洞。NetApp 的 SDL 是一項可重複執行的 6 步驟程序,根據業界最佳實務做法和標準來開發安全軟體。它提供一套架構和程序,有助於產品團隊評估並回應開發所有 NetApp 產品與服務時可能存在的安全漏洞。

嚴格的安全訓練與安全冠軍稱號為 SDL 奠定了基礎。SDL 程序首先從安全性評估和發佈循規要求與測試計畫開始,接下來是徹底評估產品安全漏洞、實作解決方案,並驗證是否已解決任何已識別的漏洞,最後則是透過產品安全事件回應團隊 (Product Security Incident Response Team,PSIRT) 進行風險溝通程序或監控。

使用 NetApp 管理漏洞和修補程式

通常發行修補程式是為了解決軟體或資料中的已知問題,例如軟體錯誤或安全漏洞。NetApp 安全研究人員致力於保護我們的產品與服務,他們會參加安全性社群來追蹤已發佈的漏洞,並且還管理一個計畫,讓這些社群以外的客戶和研究人員可以透過該計畫,提交有關潛在安全漏洞的資訊。NetApp 會根據我們的漏洞處理原則來評分及追蹤這些提交項目,並定期透過「資訊安全公告」發行修補程式。

管理這些修補程式是確保網路與資料安全的必要合理安全措施中不可或缺的一部分,NetApp 的漏洞與修補程式管理作業也專門設計來支援共同責任模型中所有職務的客戶。

加密

人們普遍認爲加密是個人資訊安全的基礎。某些法規,例如美國 IRS Publication 1075 規定,資料在靜態或傳輸期間都必須使用指定的技術來加密特定資訊。其他法規,例如歐盟 GDPR 和加州消費者隱私法案 (CCPA) 並不要求加密,但它們確實認可加密在減輕涉及個人資訊的資料外洩方面發揮著重要作用。

NetApp 提供一系列加密解決方案,其中包括 Volume 或磁碟層級的硬體和軟體加密,以及加密金鑰管理,以妥善管理用於加密和解密資料的金鑰。

資料刪除與處置

資料安全的基本原則是組織不應收集或持有不必要的個人資訊,並且當授權用途不再需要該資料時就應刪除資料。這種資料最小化原則可降低法規遵循的複雜度,並在發生安全漏洞時保護資料免受損害。 

最常見的資料最小化方法是制定並強制執行資料保留與資料刪除原則,指出公司應保留哪些資訊、保留多久、刪除的時間和方法。

NetApp 本身的資料刪除原則會將儲存在客戶返還磁碟機上的資料量減至最低:客戶必須在返還媒體之前刪除、加密或轉譯儲存在返還媒體上的所有資料,否則將無法恢復。

返回頁首
Drift chat loading