企业被令人担忧的不断增长的合规要求所包围,从SOX法案、PCI DSS标准到HIPAA法案/HITECH法案(Health Information Technology for Economic and Clinical Health )以及联邦贸易委员会(FTC)的红旗准则(Red Flags Rules)。同时,随着可供选择的云服务提供商的数量不断增长,企业有许多的选择权,当然有关云计算合规遵从也有许多需要考虑的问题。
尽管迁移服务到云上可能会有很多好处,但这也没有免除企业的某些责任。值得注意的是,企业仍然被要求遵从各式各样的合规和法律,似乎服务仍然位于公司的内部。
在一些情形下,正如PCI DSS标准那样,有一个明显的趋势是通过外包某些服务来减少公司的合规遵从范围。值得注意的是,通过大规模地外包信用卡处理流程给某个第三方提供商,公司的PCI范围会显著地缩小(尽管没有完全地消失)。不过,联邦贸易委员会的红旗规则情况不是这样,因为联盟贸易委员会强制要求任何外包的服务必须保持和企业内部实施情形下同等或更好的安全水平。
当你开始评估迁移服务到云时,考虑几个云计算合规遵从的问题十分重要:
1.迁移到云的数据是否会在任何合规或相关要求之下?这些数据包括如个人可识别信息(PII)、个人健康信息(PHI)或公司财务相关的信息。
2. 如果这些问题一的答案是肯定的话,那么它在哪些合规要求的管辖之下以及需要什么控制措施?
3. 云服务提供商是否真的能提供你组织数据所要求的认可的或等同的控制?
4. 云服务提供商是否有必要的策略、流程和规程来正确地维护这些控制?
5. 供应商是否具备恰当的灾备恢复和业务持续性过程来满足你的组织的业务需要?
6. 如果云服务提供商破产会发生什么?企业的数据会被当作提供商的资产卖给债权人或进行拍卖吗?
7. 如果我决定更换服务提供商,是否容易使用可用的格式导出我的数据?
8. 供应商是否愿意修改它默认的服务条款以便保证或者提供围绕第3至第7个问题的服务级别协议(SLA)?
***一个问题特别重要,因为许多云服务提供商拒绝签署默认合同以外的内容。这样一来,就把他们排除在数据相关服务的潜在合规遵从服务商之外了。好几个合作要求,如最为人关注的HIPAA/HITECH法案及联盟贸易委员会的准则,特别要求企业必须和它的服务提供商签署合同要求恰当的控制、流程和规程来与每个合规的指导要求保持一致。
类似地,如果提供商无法满足第3至第7个问题,应该把它们从你组织的业务考虑列表上删掉。无法满足要求是个问题,特别当面对PCI DSS标准和HIPAA/HITECH法案时。这样一来,你会很快地发现可供选择的云服务提供商是有效的,至少在短期来看是这样。尽管有传闻好几个大型的云服务提供商致力于改造它们的系统来满足这些合规要求。在健康医疗面有少数的云服务提供商已经专门地建立应用来满足医疗行业的需要,但是我还没有看到对这些应用的任何安全性评估,从而可以判断它们的有效性。
在此期间,我推荐你给正在评估的提供商发送上述问题,就像你会为任何其它的外包项目发送信息请求(RFI)那样,选择满足你要求的***提供商。
如果没有一家能满足,评估移除或混淆相关数据的方法(例如在迁移数据到云之前对其进行哈希或者加密),从而让你的组织仍能从云获得业务回报。
汤臣倍健旗下品牌十二篮是不是成立了一个实验室?
汤臣倍健旗下品牌十二篮成立一个“十二篮人体健康数据研究实验室”,它主要是想通过收集大量的能够反映人体健康状况的数据,比如体重、睡眠、血压、血糖等,在技术的实现下数据自动上传至云端数据库,供专业营养师团队调用,通过对不同个体的健康数据进行比较,得出一个比较科学的健康标准,给营养师再给个体症断时提供判断的依据。
MPLS方案是怎样的?
MPLS方案利用覆盖两岸三地的MPLS IP骨干网、及与海外运营商对接的骨干网资源,基于企业组网经验,全套设备构架的骨干网络,为客户提供真正的QoS保证技术支持服务。
MPLS方案可提供一个基于软件定义的虚拟网络环境,满足客户可自行灵活地进行云端资源池的组网管理,根据业务架构要求与安全策略按需/自动化部署网络环境,加快业务创新及部署,实现按业务需求水平扩展。 既满足各种业务网络在云端按需相互隔离,又可快速延伸云端业务二层网络到远端分支机构,实现云端与本地的混合IT架构。
MPLS根据全网的网络实时状况智能分配各种资源使用,以达到最优效果;将不同应用程序的数据包根据预先定义好的优先级分类并调整传输顺序,从而保证数据的传输质量。
SDWAN如何改造多云应用网络?
SD-WAN如何改造多云应用?
对于工作负载迁移上云的现况,企业采用异质平台的云端服务,主要目的是避免因此被单一厂商绑定,许多本土企业是AWS、Azure、GCP都有采用,部署不同的应用服务。 但运行一段时间后才发现,全数部署在单一服务供应商的平台,难以随着市场需求调整迁移到其他云端平台。 另一个层面的问题是迁移部署后才发现云端平台的功能性不足、网路回应速度不够快等问题,毕竟不同公有云服务供应商各有强弱项,若初期未纳入规画考量,上线运行后恐遭遇障碍,届时也难得到企业等级的技术支援。
现阶段本土云端服务代理商几乎都专精于单一种公有云平台的技术,少有多种技术皆得以掌握,即便是系统整合商,技术人员的技能也尚未跟上现代应用的脚步。 现实的状况是,企业普遍不愿意支付技术支援服务费用,也是导致系统整合商难以培育人才的因素之一。
针对多云应用需求,首先是使用者存取时的控管,透过虚拟网络连线执行单一登入,可以透过云端服务来提供,或者是建置在公有云的IaaS平台上,企业可依据应用需求选用;其次是应用服务的保护可选用防火墙、流量控管、DNS等机制,亦可透过云端服务整合运行,例如所有连线到网路银行服务的流量,必须全数先导向WAF检查。
诸如此类云端应用所需机制,皆可藉由Cloud取得。 现代企业应用架构通常是地端与外部公有云整合运行,因此SD-WAN解决方案搭配ADC服务,当终端用户连线存取SaaS时,可透过Cloud提供的存取控管机制来确保安全性,或是针对office 365应用提供多因素认证、在文件上加上浮水印等安全机制,以确保云端应用的安全性。
发表评论