云計算的早期采用者已經(jīng)在引吭高歌,對云計算提供的彈性、可擴展性以及靈活性贊不絕口,這最終引起了企業(yè)的注意。但隨著公有云變得越來越成熟,有關隱私以及數(shù)據(jù)主權的關注正在阻礙擁有國際用戶的組織部署云服務。
云服務商喜歡將云描述為超越物理位置以及政治管轄權限制的無限資源,但事實并非如此。因為你的數(shù)據(jù)在云中并不意味著其不受當?shù)胤傻谋O(jiān)管。而且,去年有關美國政府監(jiān)視范圍的啟示已經(jīng)給很多組織使用公有服務的意愿蒙上了一層陰影,尤其是由美國公司所提供的公有云服務。
對于擁有歐洲用戶的組織來說,問題尤為嚴重,因為歐洲擁有嚴格的數(shù)據(jù)隱私規(guī)則。Clarify360公司是一家云以及數(shù)據(jù)中心外包咨詢公司,該公司融合云與數(shù)據(jù)中心業(yè)務副總裁Jo Peterson說云計算絕不會受這些限制。如果公司的顧客受特定規(guī)則的支配,那么其所在的公司應該也不例外。
云技術合作伙伴公司(CTP)是一家總部位于波士頓的云咨詢公司,該公司的高級副總裁John Treadway說:“這將導致很多無故抱怨、耗時的嚴格評估以及不理想的解決方案,對使用云的用戶來說這一切都將轉換為更高的使用成本。事情會慢到要去律師事務所咨詢的地步,F(xiàn)在使用云的用戶正在支付額外的費用來處理這些問題。”
現(xiàn)在是11點,你知道你的數(shù)據(jù)在哪兒嗎?
使用云服務供應商的遠程數(shù)據(jù)中心具有巨大的激勵作用。對于有用戶遠離大本營的組織來說,使用其他基礎設施獲得數(shù)據(jù)的機會可能有助于組織減少大量的資本支出。
Peterson說:組織考慮進入特定區(qū)域時,要考慮的第一件事就是給定數(shù)據(jù)中心的技術特性,比如延遲、連通性、數(shù)據(jù)共享以及應用相關性以及可移動性。
但即使遠程托管工作負載在技術上是可行的,仍舊要考慮合規(guī)性。
Peterson說“用戶往往受困于合規(guī)性。無論企業(yè)是否決定進入特定的市場,最終數(shù)據(jù)主權規(guī)則往往是決定性因素。”
Peterson說:“企業(yè)會問‘我們是否想服務于這一市場?收入足以抵消額外的成本嗎?如果答案是肯定的,那么我們必須按照游戲規(guī)則辦事。’”
實際上,不同國家對本國公民的個人數(shù)據(jù)應該保存在哪兒以及如何被管理的看法有很大的不同。不同國家有關數(shù)據(jù)應該如何保存、遷移以及保護的法律同樣有很大不同。數(shù)據(jù)主權規(guī)則有時被稱之為“避風港”,在不同國家間的差異很大,實際上甚至在不同省以及州之間都有差異。
Carbon60 Networks是一家主機托管供應商,該公司的CIO Kelly Beardmore說,加拿大不列顛哥倫比亞省針對公有以及私有組織的法律有明顯的區(qū)別。公共部門的數(shù)據(jù)不能離開本省,但其他省并未如此嚴格。
CTP公司的Treadway說盡管沒人關注,但美國馬薩諸塞州的法律也有類似的規(guī)定,禁止本區(qū)域的數(shù)據(jù)離開本州。
最典型同時可能是最有效的避風港法律在德國。作為歐盟的成員國,從理論上講德國應該遵守EU Directive 94/46/EC,也就是數(shù)據(jù)保護指令,禁止將隱私以及數(shù)據(jù)轉移到成員國范圍之外。
實際上,德國的規(guī)定超過了EU法律的要求,規(guī)定即使是出于維護以及災難恢復的目的,德國的數(shù)據(jù)必須保留在本國。
這使得與歐洲最大的經(jīng)濟體德國做生意的組織陷入了困境。他們應該將所有的數(shù)據(jù)保留在本地還是應該將德國的數(shù)據(jù)保留在德國,同時使用其他數(shù)據(jù)中心保留剩下的數(shù)據(jù)?
與此同時,全世界各地的云供應商都在部署數(shù)據(jù)中心資源。例如AWS在全世界已經(jīng)擁有7個地區(qū)以及26個可選區(qū)域服務全球用戶。IBM SoftLayer現(xiàn)在有13個數(shù)據(jù)中心,只有兩個位于美國以外——一個在荷蘭阿姆斯特丹,一個在新加坡。IBM SoftLayer產(chǎn)品創(chuàng)新副總裁Mark Jones說公司計劃投資12億美元將數(shù)據(jù)中心的總數(shù)增加到40個,初步考慮的城市包括香港、倫敦、多倫倫、墨西哥、法蘭克福以及巴黎。
針對諸如加拿大以及澳大利亞等國家避免個人數(shù)據(jù)離開本國邊界的要求,IBM計劃構建多個數(shù)據(jù)中心,這樣用戶就能夠在IBM SoftLayer 云中遷移數(shù)據(jù),維護或者進行災難恢復時數(shù)據(jù)仍舊在本國的邊界以內(nèi),不用擔心與數(shù)據(jù)主權法律發(fā)生沖突。
沒消息就是壞消息
不僅僅是合理確定數(shù)據(jù)的位置,同樣要確保數(shù)據(jù)不會被移動,即使是進行維護活動時也要滿足該要求。早期的云采用者認為這些保證措施并非總是很到位。
總部位于美國的人員配置供應商最近承擔了一個項目,將全球16個CRM軟件實例整合到Salesforce.com,另外在AWS上運行定制代碼。負責該項目的IT主管說讓Salesforce符合避風港規(guī)程的要求簡直是小菜一碟,但這對AWS來說卻是個災難。
有一家禁止員工公開發(fā)表言論的公司,該公司的IT主管說“AWS對談論避風港、安全、國際數(shù)據(jù)以及你想在哪兒保存數(shù)據(jù)根本不感興趣。”
從之前的多次會議以及郵件溝通情況來看,AWS對該話題并不感興趣。該IT主管回憶說“看來AWS針對數(shù)據(jù)主權并沒有做任何事,每個合規(guī)性問題都是一個獨特的事件。”
該公司并未決定放棄使用AWS,而是決定解決該問題并將所有數(shù)據(jù)加密保存在美國,法律顧問認為這樣做應該能夠滿足國際用戶對合規(guī)性的要求。
盡管這看起來像是一個優(yōu)雅的解決方案,被網(wǎng)絡安全專家所認同,但對IT來說同樣是個負擔。為避免承擔責任,AWS拒絕管理該顧客的加密密鑰,有時亞馬遜的其他服務比如RDS也會采取同樣的方式。IT主管說“安全人士愛加密,而我只希望易于管理。”
同時,在談到數(shù)據(jù)主權時其他服務供應商開始強調(diào)透明度。例如,iLand是一家數(shù)據(jù)中心位于美國和愛爾蘭的VMware vCloud 供應商,該公司重點描述了其數(shù)據(jù)移動策略。
iLand產(chǎn)品管理及市場副總裁Lilac Schoenbeck說:”某些云服務的特性之一就是在多個區(qū)域之間均衡負載而且未必會告訴你。”而iLand恰恰相反,”如果你想,我們會出于災難恢復的考慮均衡負載,但這完全取決于客戶的決定。”
Schoenbeck說: “相反,AWS不僅不提供上述信息,而且對其究竟做了什么同樣不是很透明。這可能要比沒有保證還要糟糕。”亞馬遜拒絕就此發(fā)表評論。
美國數(shù)據(jù)泄露的啟示
去年美國國家安全局(NSA)監(jiān)視云供應商的啟示帶來了某些難以接受的事實,并威脅禁止使用位于美國的云服務。
451 Research公司EMEA服務研究主管Rory Duncan說這非但扼殺掉云市場,同時對數(shù)據(jù)主權以及隱私權的關注已經(jīng)蔓延到美國之外。某些服務商銷售他們自己的云服務,而其他服務商只是轉售支持本地語言并提供本地服務的全球云服務。
增加的價值有哪些?他們承認只在歐洲保存數(shù)據(jù)還不夠。Duncan說“顧客對全球供應商說我們想要云服務,但是我們希望這些服務位于波蘭并能夠復制到法國東南部。”
Duncan相信位于美國的服務供應商通過與本地供應商合作能夠獲得巨大成功。一般來講直銷模式在歐洲并非一個很好的銷售方式,供應商可以通過與本地供應商建立合作伙伴關系,重新銷售云服務。他們發(fā)現(xiàn)自己已經(jīng)不再被視為美國公司了。
Duncan說主動回避美國云供應商是否合乎情理仍舊在爭論中,F(xiàn)UD(恐懼、不確定性以及懷疑)肯定會加劇這種爭論。我們真正要思考的是用戶應該考慮使用哪些云服務,而且并非只有歐洲人需要思考這個問題。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:確保云中的數(shù)據(jù)安全
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839517407.html