對于許多組織來說,不僅需要考慮所有可識別個人身份的客戶數(shù)據(jù),其內(nèi)部流程也必須更新。而組織的員工需要接受教育和培訓(xùn),以確保符合2018年5月25日實施的GDPR法規(guī)。這個任務(wù)說起來容易,做起來難。
當(dāng)然,GDPR法規(guī)只是組織面臨的立法挑戰(zhàn)之一。例如,金融服務(wù)公司已經(jīng)修訂了金融工具市場指令(也稱為MiFID II)的回應(yīng)版本,而英國電信行業(yè)正面臨在英國脫歐后實施新立法的前景。
隨著行業(yè)法規(guī)日趨嚴(yán)厲,組織有可能面臨大規(guī)模的經(jīng)濟(jì)處罰,以及聲譽(yù)受損和客戶流失的威脅,因此不能掉以輕心。
然而,擔(dān)心新的基礎(chǔ)設(shè)施在合規(guī)性管理方面的復(fù)雜性,以及確?,F(xiàn)有系統(tǒng)準(zhǔn)備就緒的努力,這些正促使許多企業(yè)放棄了云計算服務(wù),盡管云計算服務(wù)提供了諸多好處。這種擔(dān)憂主要是由于一種誤解,即在云平臺這個第三方共享系統(tǒng)持有數(shù)據(jù)與傳統(tǒng)內(nèi)部部署系統(tǒng)相比而言可能更困難,并且可能不太安全,但事實上卻大相徑庭。
公共云服務(wù)其實非常安全,而且通常比內(nèi)部部署系統(tǒng)更安全。那么,這種誤解背后到底是什么呢?為什么企業(yè)應(yīng)該按照其遵從性需求而信任公共云服務(wù)呢?
從表面上看,很容易看出為什么很多人會認(rèn)為內(nèi)部部署基礎(chǔ)設(shè)施更安全和易于管理。在理論上,組織需要確切地知道他們的數(shù)據(jù)存儲在哪里以及誰有權(quán)訪問它們,這兩方面都為組織提供了便利。
他們還可以根據(jù)自己的特定需求和偏好來設(shè)計架構(gòu),并在公共云提供商退出業(yè)務(wù)時降低數(shù)據(jù)丟失的風(fēng)險。
有人可能會認(rèn)為,這樣的設(shè)置對那些在高度管制的行業(yè)(如醫(yī)療保健和金融服務(wù)業(yè))運營的企業(yè)尤其有吸引力,因為它們需要對其數(shù)據(jù)管理具有更大的可見性和控制權(quán)。
但是,企業(yè)應(yīng)該明白,運營自己的私有云就要擔(dān)負(fù)安全和遵從的責(zé)任。企業(yè)的運營有時會受到大自然的突發(fā)事件和電力中斷的束縛,如果出現(xiàn)問題,可能會讓他們感到束手無策。
而組織也容易受到心懷不滿的員工和內(nèi)部數(shù)據(jù)盜竊的威脅。員工可以輕松訪問機(jī)密數(shù)據(jù),有時幾乎無法阻止他們竊取公司信息,因為只需從服務(wù)器中拔出磁盤離開即可。員工通常在工作中使用自己的U盤,這其中可能含有惡意軟件或病毒。而組織通常會部署防火墻作為一種阻止入侵者的有效手段,但其后門可能以傳統(tǒng)和不安全的網(wǎng)絡(luò)連接的形式存在,或者具有糟糕的訪問控制流程,以及相關(guān)員工可能長時間離開公司,這對組織來說都是隱患。
因此,只是因為基礎(chǔ)設(shè)施位于自己的數(shù)據(jù)中心內(nèi)并不意味著它本質(zhì)上更安全、更具彈性或適合滿足法規(guī)遵從性的需求。
盡管一些企業(yè)認(rèn)為數(shù)據(jù)存儲在自己數(shù)據(jù)中心可能會感覺更安全,但數(shù)據(jù)的位置只是安全性和合規(guī)性的一方面。
除了提供創(chuàng)新的新服務(wù)以實現(xiàn)業(yè)務(wù)增長外,公共云提供商的任務(wù)還要保護(hù)其客戶的數(shù)據(jù)。因此,他們的價值主張的核心組成部分是交付系統(tǒng)、工具和連續(xù)性計劃,使他們的云計算基礎(chǔ)設(shè)施安全可靠。
這適用于虛擬和物理的保護(hù)手段。企業(yè)數(shù)據(jù)將存儲在一個安全的設(shè)施中,并具有多層次的物理安全性,如果企業(yè)選擇在內(nèi)部運行其云基礎(chǔ)設(shè)施,則通常不會出現(xiàn)這種情況。
而且,隨著市場競爭的持續(xù)快速增長,確保合規(guī)性不僅對那些提供公共云服務(wù)的組織具有更好的競爭優(yōu)勢,而且對獲得客戶的信任和忠誠度也至關(guān)重要。在這方面,一些云計算提供商正在引領(lǐng)這一方式,其價值主張非常重視合規(guī)性。
公共云提供商也可能會定期進(jìn)行軟件修補(bǔ),這對管理合規(guī)性至關(guān)重要。自己運行私有云的組織通常在修補(bǔ)安全漏洞方面更晚一些,這使其面臨潛在的數(shù)據(jù)泄露和合規(guī)漏洞。最近的Spectre和Meltdown漏洞就是一個很好的例子,谷歌、微軟和亞馬遜都在這些問題被公開后快速修補(bǔ)系統(tǒng)。與此同時,許多企業(yè)仍在確定他們需要修補(bǔ)哪些系統(tǒng)以及如何去做。
此外,公共云提供商往往擁有高度熟練和經(jīng)驗豐富的IT團(tuán)隊,這對于其他組織來說不具備這樣的能力。在云計算世界中,技能差距問題是一個非常普遍的問題,組織發(fā)現(xiàn)吸引優(yōu)秀開發(fā)人員的難度比以前更大。當(dāng)涉及到更多技術(shù)上的挑戰(zhàn)時,這就產(chǎn)生了問題,但可以通過采用第三方的基礎(chǔ)設(shè)施來解決。
此外,組織不會孤獨無助地抵御攻擊,而技能論證為使用第三方供應(yīng)商的服務(wù)而確保遵守法規(guī)的優(yōu)點提供了強(qiáng)有力的支持。
這些因素的結(jié)合意味著在許多情況下,對于具有高安全性和合規(guī)性要求的系統(tǒng),在公共云上運行實際上可能比私有云更好。對于組織而言,這無疑是一個不太復(fù)雜的選擇,并且可以幫助他們更加有效地應(yīng)對不斷變化的監(jiān)管格局。
隨著終端用戶對個人數(shù)據(jù)的安全性變得越來越敏感,像開放式銀行這樣的舉措開始生效,這些挑戰(zhàn)只會越來越大。這就是為什么組織不應(yīng)該回避公共基礎(chǔ)設(shè)施的原因,而應(yīng)該把它們作為混合云產(chǎn)品的一部分加入合規(guī)性的行列。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號