如果您已經受僱於某種形式的正式聘用,您很可能已有對「監管合規」的基本認知。還記得你在接受這份工作的那天簽署了幾千件文件嗎?在這些文件中,有關如何保護敏感信息和保護過程中關於個人隱私的具體說明──其中包括有關儲存、存取和共享此信息的正確方法的指導,以及報告數據洩露的程序。
例如:健康保險流通與責任法案(HIPAA)是醫療行業的監管法規,該法案於1990年代簽署,旨在保護患者的隱私;該法律本質上是全面的,這意味著它無論是通過硬拷貝還是數字方式儲存、以及是否共享,都會對患者信息進行保護。為了加強對保護患者醫療記錄和其他機密數據的責任,醫療服務提供者及其合作夥伴都將因違規而被罰款;在某些情況下,甚至會對過失方提起刑事指控。
如果您在政府(FedRAMP)、製造業(GMP)或房地產(CFPB)工作,合規規則可能會有所不同,也可能受到您是否向持卡人(PCI-DSS)收款而有所影響。話雖如此,如果您的公司有著橫跨不同內容的工作,您可以發現許多不同的合規性規定。而且,如果合規領域還不是雷區,那麼技術創新又為專業人士增加了一個層面:雲;這意味著您不僅需要降低內部設備的風險,還需要找到一種方法來解決數據儲存在第三方環境中的風險。這並非不可能的,但前面的任務並不容易,將需要紀律與一些戰略合作夥伴的幫助──話雖如此,我們仍在以下概述了能確保雲中數據合規性的5個技巧:
1.雲的類型
儘管對某些人來說是顯而易見的,但第一步仍是要堅定地了解您的組織正在使用什麼「類型」的雲,與其中微妙的細微差別,以及是否適用獨特的法規。例如,在討論雲儲存時,將數據儲存在使用內部數據中心資源的私有雲中可能是風險最小的選項,這是因為部署的「單租戶」性質;在此方案中,只有組織的數據才會使用基礎結構。另一種方法是使用AWS、Microsoft或Google提供的公有雲解決方案,其中一個供應商提供的多租戶架構可能會降低成本,因為您與其他組織共享基礎架構容量和資源,雖然在市場上廣泛採用,但這種消費方法在理論上不太安全。利用公有雲,或私人和公有(混合)的組合,不一定是有害的,但在考慮合規時仍必須考慮安全性問題。
2.員工存取權限
員工的存取管理是成功保護數據的重要功能,鑑於您的用戶數據的敏感性,您不希望任何人有權存取任何內容,制定方案以確保您的員工擁有最少存取權的權限,制定基於需求的存取方案,以便員工僅在有限的時間內存取特定資源,並且在一定時間後過期;根據業務需求定期執行審核,以確保系統中只存在有效用戶。與合規性相關的另一個注意事項是,您還必須能夠「證明」已實施基於權限差異的存取。
3.修改SLA
除了您自己的員工之外,您還需要確保您的雲供應商了解並且有能力滿足您以及實現相關法規遵從性的需求,由於此行動項目不是您可以決定或做出假設的,因此與您的雲供應商達成的服務級別協議必須非常明確其角色和職責、事件迴響的執行以及數據洩露的修復,與您的供應商達成一致的所有內容必須符合您組織的管理規定,您還必須保有修改SLA的選項,具體取決於合規性指南中的更改。
4.數據加密
對於任何企業而言,數據是最有價值的資產,您希望確保採取正確的措施來保護您的數據,確保您在休息時啟用加密,因此如果存取憑據到達了錯誤的地方,則無法調整數據。利用密鑰管理服務或是HSM加密磁盤或數據庫中的數據,在數據傳輸時,確保數據通過SSL端到端移動,這有助於防止中間的任何數據被盜。此外,作為操作和支持的一部分,需考慮一種「搞砸機制」,以便不洩露客戶身份;而如果您的雲供應商將提供加密,請準確了解它們提供的加密類型以及涉及實施的詳細信息。
5.地區和可用區(AZs)
根據您所在的企業,您可能還需要遵守數據地理指南,這指的是您的供應商在國內或全球基礎設施中存儲數據的位置。通常情況下,敏感數據需要儲存在原產國內,而如果您曾經過合規管理機構的審核,您還需要證明數據確實儲存在需要的位置。
我們認為這是相當全面的清單,但不幸的是,我們尚未解決的最後一項涉及多雲環境的特殊項目。在當今的數位經濟中,現實是組織利用多個雲供應商來實現其業務目標;例如,消費者包裝商品製造商可以將AWS用於某些工作負載,將Microsoft Azure用於其他工作負載,表面上沒什麼大不了的,但是,雖然雲服務供應商通常會提供滿足您的合規性需求的工具,但他們只能為其解決方案做到這一點;這意味著您的合規性覆蓋範圍不完整,因為您具有狹隘的看法,而非關注於整體的可見性。
那麼,您如何全面支持雲中的法規遵從性? Nutanix Xi Beam使用內置的AWS和Azure雲模板,為PCI-DSS、HIPAA、CIS等監管標準維護雲安全合規性,您可以使用可自定義的合規性策略和審核檢查來滿足特定的合規性需求,並通過詳細的分析和報告監控您的績效;如今,Xi Beam每24小時執行一次審核,並允許您按預定的時間間隔進行審核,Xi Beam提供200多項自動審核檢查和內置安全合規性政策,為您提供無與倫比的多雲環境洞察力。如果您有興趣,可以免費試用14天平台,親自測試一下!
