首页 首页 云计算 查看内容

云中的合规性:避免云合规陷阱

木马童年 2018-10-11 18:45 65 0

  最近的一项调查发现,四分之一以上的组织计划在未来一到两年内将所有IT基础设施和工作负载转移到云端。 与此同时,在备份软件提供商Veritas公司的调查中,83%的受访者认为云计算服务提供商将会保护用户的数据。 ...

  最近的一项调查发现,四分之一以上的组织计划在未来一到两年内将所有IT基础设施和工作负载转移到云端。

与此同时,在备份软件提供商Veritas公司的调查中,83%的受访者认为云计算服务提供商将会保护用户的数据。但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的合规性陷阱。

当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。

组织机构可以结合自己和供应商的基础设施采用混合云和多云服务,而这些云平台由于其具有的性能和成本优势而越来越受欢迎。而这些趋势将会促进组织的云计算应用。

云合规差距

在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。

欧盟的“通用数据保护条例”(GDPR)不仅已经生效,其他条例(如更新支付卡PCI-DSS标准)也促使组织审查其收集和处理信息的方式。

像GDPR这样的法规为个人带来了一些额外的权利和保障,例如被遗忘的权利和组织的新义务,以及强制披露数据泄露事件等。

然而,GDPR的情况并不是新生事物。相反,它是对现有数据保护规则的澄清和整合。因此,具有可靠数据保护和隐私政策的组织应该能够遵从GDPR法规。

但是,组织采用云计算的举措可能会暴露在合规性方面的差距,特别是对于主要处理个人数据的组织。GDPR法规对“个人数据”提出了更清晰的定义。这个定义比许多国家的数据保护法规定的定义要宽泛得多。

在GDPR的规定之下,组织在收集、处理或存储个人数据违规的情况很难争辩。因此,不可避免地会对使用云计算的组织产生影响。

Dentons律师事务所的技术、媒体和电信团队的合伙人Dan Burge说:“迁移到云计算并没有带来法规的豁免。”但它可能会让组织遵守这些规则更加困难。

多云也是多重挑战

组织将业务转移到云端可能会带来一系列实际的管理和监管挑战。

但是对于合规性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。运行自己的内部数据库、档案和存储系统的组织应该能够识别大部分数据的位置。他们可以指定系统和数据中心的位置,并进行IT设置,以便限制数据(例如欧盟)在特定的地理位置进行存储和处理。从其他业务信息中分离个人数据应该同样适用于良好的IT控制。

识别数据类型或是数据分类,也应该通过内部系统和合规人员来实现。但是,向外部位置迁移数据存储和IT工作负载会给组织带来新的挑战。

云计算供应商通过提供规模经济来发挥作用。要做到这一点,他们需要汇总数据。云计算提供商也建立了弹性,并且这样做将在多个位置承载数据。

详细了解存储和合规性

除非组织的规模足够大可以拥有并运营私有云系统,或者采用可能分散在几个地理上分散的私有云,否则他们需要将适合的数据交给云计算服务提供商进行存储。

这对用户的“数据主权”产生了挑战,并且用户知道数据在何时何地使用。

组织的CIO们可能不知道他们的云服务在哪些国家和地区存储数据。而云计算提供商可能不知道他们是否使用高度自动化的系统实现负载均衡,并确保业务连续性和灾难恢复。

数据的位置

组织经常忽视数据的确切位置。最安全的解决方案是使用云服务,并将数据锁定到一个位置,或者至少将数据保存在一个管辖区域内,如欧盟各国。

但首先,组织需要确定他们收集和处理的信息类型。如果其首席信息官不清楚进入云端的数据类型,任何控制或审计数据位置的尝试都会失败。

有些数据类型可以清楚地标识为敏感数据。例如,保险号码、银行账号、健康信息、地址、年龄等细节都是客户希望企业保护的所有数据类型。

但是,在GDPR法规下个人数据的定义比传统的以美国为中心的个人身份信息(PII)定义更宽。

SaaS应用程序、电子商务,甚至社交媒体都有可能在云中创建敏感数据。正如最近的媒体报道的事件,任何将在线互动与个人简介结合在一起的功能都能够快速将记录带进个人数据领域。基于SaaS的客户关系应用程序或保险承保应用程序利用来自社交媒体或其他来源的数据日志,风险会更高。

如果有某种方法通过组合数据字段追踪个人信息,即使匿名或清理记录也可以恢复。法律制定者称之为“马赛克识别”,并且可能会发生在云端运行的应用程序,而组织的CIO却没有意识到这个风险。

锁定数据

幸运的是,组织可以采取措施解决云合规问题。

首先是在特定的提供商服务中限制云计算的使用或将限制用途,而对于数据地理位置则采取健全且透明的策略。

但是,对于需要使用公共云的组织(即那些采用多供应商策略的组织),下一步是仔细审核所有数据,以确保个人数据得到识别、跟踪并实施数据主权政策。

一旦组织的CIO和数据保护人员知道他们正在处理的数据是什么样的,他们可以采取实际措施来保护数据。建议采用基于客户端的加密优化做法,因为如果云计算服务遭到黑客攻击,并具有丢失数据的风险,即使它没有解决数据主权问题,加密优化也可以降低数据丢失的风险。

组织还应该审查他们的云计算服务提供商的安全策略,其中包括SaaS平台和遵守他们自己的数据合规政策和标准,例如ISO27001。

对于混合云和多厂商云来说,尽管仍然可行,但很难实施。多云数据管理工具虽然对市场来说还相对较新,但它为IT和数据保护团队提供了对其存储数据进行更快速、更加深入监控的前景。

但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将合规责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。因此,遵守GDPR法规和违规处罚等法律责任则完全落在组织身上,而不是其云计算供应商。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

基础设施 提供商 云计算 服务提供商 供应商 云平台
0
为您推荐
人算不如天算,数据驱动的云计算远超天算啦!

人算不如天算,数据驱动的云计算远超天算啦

在今天的世界, 一切业务数据化,一切数据业务化,只有这样才能迎接这个时代。所以我希…...

业务不到两年增速85%,是哪家公司这么厉害?

业务不到两年增速85%,是哪家公司这么厉害?

核心提示:自从2015年9月的OracleOpenWorld大会上推出全线的SaaS和PaaS产品以来,甲骨…...

打开企业云计算之门的利剑,不容错过?

打开企业云计算之门的利剑,不容错过?

在现实中,很多企事业单位的IT基础设施就处于此层次级别,即:只是采用了虚拟化技术去…...

云计算炙手可热,究竟是谁在背后?

云计算炙手可热,究竟是谁在背后?

核心提示:前不久,万达网络科技集团与美国IBM公司达成合作,借助IBM的云计算技术,进…...

云计算对数据进行智能分析,云计算核心技术有哪些?

云计算对数据进行智能分析,云计算核心技术

随着信息技术不断进步,闪存、磁盘、数据中心、DNA等各种新的存储技术不断出现。即便…...

“云”上存储日渐成熟, 那么最关键的是什么?

“云”上存储日渐成熟, 那么最关键的是什

展望未来,世界并不只是由公有或私有化技术组成,还有许多两者的混合体。因此势必会有…...

云计算开源呈现爆发式增长,如何使用云计算开源技术成为产业链关注的热点?

云计算开源呈现爆发式增长,如何使用云计算

近几年来,在云计算领域,开源技术呈现爆发式的增长,借用云计算领域的主流看法,这个…...

云计算提供了基础平台,云计算产业进入2.0

云计算提供了基础平台,云计算产业进入2.0

云计算引发了软件开发部署模式的创新,成为承载各类应用的关键基础设施,并为大数据、…...

私有云的建设是一个需要长期迭代的过程,我们都还在路上!

私有云的建设是一个需要长期迭代的过程,我

伴随着IT新技术的发展,像虚拟化、云计算和大数据对大家来说已经不再陌生了。在企业里…...

大家都要向云计算转型,为什么?

大家都要向云计算转型,为什么?

我们曾经开玩笑说硬件也要向云计算转型,软件也要向云计算转型,系统集成商也要向云计…...