【中國(guó)智能制造網(wǎng) 市場(chǎng)分析】在美國(guó)的監(jiān)管領(lǐng)域中，有許多必須遵守的政府監(jiān)管的或行業(yè)監(jiān)管的復(fù)雜法規(guī)。醫(yī)療服務(wù)提供者必須遵守HIPAA（健康保險(xiǎn)流通與責(zé)任法案），而銀行、投資公司和保險(xiǎn)公司必須遵守GLBA（格雷姆-里奇-比利雷法）。


      企業(yè)及其會(huì)計(jì)師準(zhǔn)備財(cái)務(wù)報(bào)表符合SOX（薩班斯法案），以及信用卡產(chǎn)業(yè)符合PCIDSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）。這些還包括對(duì)紙質(zhì)文件和數(shù)字?jǐn)?shù)據(jù)，內(nèi)部部署和關(guān)閉等方面的規(guī)定。
　　
　　在云計(jì)算中，增長(zhǎng)快速的領(lǐng)域是數(shù)據(jù)。那么誰(shuí)負(fù)責(zé)保護(hù)這些數(shù)據(jù)？這個(gè)業(yè)務(wù)是什么？他們的云備份供應(yīng)商是誰(shuí)？他們的云計(jì)算擁有者是誰(shuí)？答案就是終的責(zé)任在于企業(yè)。
　　
　　當(dāng)涉及到云計(jì)算存儲(chǔ)和備份服務(wù)或云服務(wù)提供商時(shí)，這些組織好像沒(méi)有受到法規(guī)約束。供應(yīng)商對(duì)此可能或可能不兼容，并且一個(gè)簡(jiǎn)單的營(yíng)銷(xiāo)信息也不會(huì)使他們受到制約。
　　
　　更有趣的是，云計(jì)算供應(yīng)商可能在他們提供的業(yè)務(wù)服務(wù)方面完全兼容，但這不符合他們的客戶(hù)業(yè)務(wù)的相同水平。例如，HIPAA要求組織的客戶(hù)提供商業(yè)服務(wù)機(jī)構(gòu)必須具備作為一個(gè)“生意伙伴”的條件，該供應(yīng)商不需遵守相同水平，并提供衛(wèi)生保健業(yè)務(wù)的報(bào)告。
　　
　　這是監(jiān)管企業(yè)要記住的一個(gè)關(guān)鍵點(diǎn)：你還是要負(fù)責(zé)任。這是不是你的供應(yīng)商的自動(dòng)責(zé)任，以確保您的云存儲(chǔ)標(biāo)準(zhǔn)。這就是你的責(zé)任，供應(yīng)商都可以提供你所需要的標(biāo)準(zhǔn)服務(wù)。
　　
　　云備份供應(yīng)商或云計(jì)算供應(yīng)商
　　
　　根據(jù)備份/歸檔數(shù)據(jù)或活動(dòng)數(shù)據(jù)不同，基于云的數(shù)據(jù)遵守的規(guī)則也會(huì)有所不同，如SaaS。本文關(guān)注的是：如何與供應(yīng)商合作，以證明在云中存儲(chǔ)的備份和歸檔的合規(guī)性。以HIPAA法案為例，其HITECH部分定義了用于數(shù)據(jù)存儲(chǔ)的技術(shù)、物理安全、安全的管理規(guī)則。
　　
　　具體要求包括異地備份的安全性，其復(fù)原點(diǎn)目標(biāo)RPO和復(fù)原時(shí)間目標(biāo)RTO合規(guī)，安全的數(shù)據(jù)中心，加密，用戶(hù)訪問(wèn)控制，漏洞傳播計(jì)劃，以及可核查的災(zāi)難恢復(fù)計(jì)劃。任何云計(jì)算供應(yīng)商聲稱(chēng)遵守HIPAA，應(yīng)該愿意簽署一份業(yè)務(wù)合作協(xié)議（BAA）這樣的官方證明，以證明他們是兼容這些復(fù)雜的要求。在理想的情況下，用戶(hù)的云備份供應(yīng)商將能夠指導(dǎo)他的過(guò)程。而不是僅僅尋找“兼容存儲(chǔ)”，并從他的備份/云供應(yīng)商尋找以下產(chǎn)品：
　　
　　•恢復(fù)保證。災(zāi)難恢復(fù)計(jì)劃應(yīng)該提供自動(dòng)化測(cè)試及合規(guī)性報(bào)告，以滿(mǎn)足災(zāi)難恢復(fù)監(jiān)管的具體要求。尋找那些不僅可以測(cè)試數(shù)據(jù)恢復(fù)，而且還可以恢復(fù)到機(jī)器水平的供應(yīng)商。災(zāi)難恢復(fù)即服務(wù)（DRaaS）產(chǎn)品或許能將故障轉(zhuǎn)移在云中，同時(shí)恢復(fù)虛擬機(jī)的應(yīng)用程序和數(shù)據(jù)。
　　
　　•驗(yàn)證數(shù)據(jù)保留。注冊(cè)圍繞法規(guī)遵從和業(yè)務(wù)需求創(chuàng)建的數(shù)據(jù)保留協(xié)議。即對(duì)數(shù)據(jù)保留時(shí)間提供一個(gè)給定的規(guī)則，你的云存儲(chǔ)環(huán)境應(yīng)該符合規(guī)定的含義。例如，雖然SOX不需要特定的保留期,也希望公司能立即產(chǎn)生影響財(cái)務(wù)報(bào)表的任何數(shù)據(jù)：不僅是會(huì)計(jì)記錄，也包括電子郵件和銷(xiāo)售報(bào)告文件。
　　
　　•當(dāng)前的合規(guī)性。作為一個(gè)受監(jiān)管的公司，其終停留在當(dāng)前不斷變化的法規(guī)責(zé)任。你的備份供應(yīng)商/MSP也應(yīng)該這樣做。許多中等規(guī)模符合市場(chǎng)服務(wù)也可能跟不上監(jiān)管的變化。尋找監(jiān)管機(jī)構(gòu)的要求，如HIPAA，PCIDSS，SOX，GLBA，以及其他任何一套新的制度，并影響你積極參與的行業(yè)。
　　
　　•安全的數(shù)據(jù)中心。驗(yàn)證云數(shù)據(jù)中心的物理安全性。要求在年度審計(jì)和遵從存儲(chǔ)實(shí)踐報(bào)告，并詢(xún)問(wèn)有關(guān)類(lèi)似SSAE-16的安全評(píng)級(jí)。還要詢(xún)問(wèn)多租戶(hù)環(huán)境的分割政策，包括入侵的安全和嘈雜的鄰居管理措施。
　　
　　•服務(wù)級(jí)別協(xié)議。制定復(fù)原點(diǎn)目標(biāo)RPO和復(fù)原時(shí)間目標(biāo)RTO的所有服務(wù)級(jí)別協(xié)議。以滿(mǎn)足業(yè)務(wù)需求，以及對(duì)數(shù)據(jù)和應(yīng)用程序恢復(fù)的監(jiān)管要求。
　　
　　•數(shù)字安全。加密和用戶(hù)訪問(wèn)控制是關(guān)鍵的數(shù)字安全措施。由同一個(gè)云供應(yīng)商提供其他加密，查看你的備份供應(yīng)商是否還提供了傳輸加密。與通過(guò)訪問(wèn)控制，與供應(yīng)商密切合作，以保護(hù)數(shù)據(jù)免受入侵，這些入侵不僅來(lái)自外部，也來(lái)自公司內(nèi)部員工?？梢垣@得定期訪問(wèn)審核是驗(yàn)證合規(guī)性報(bào)告的目的。
　　
　　數(shù)據(jù)保護(hù)供應(yīng)商地址的HIPAA云計(jì)算合規(guī)
　　
　　數(shù)據(jù)保護(hù)供應(yīng)商通常為他們的客戶(hù)服務(wù)提供云存儲(chǔ)選項(xiàng)，以補(bǔ)充其現(xiàn)有的硬件/軟件產(chǎn)品。這些專(zhuān)業(yè)的數(shù)據(jù)保護(hù)云經(jīng)常提供一個(gè)災(zāi)難恢復(fù)即服務(wù)（DRaaS），除了基本的數(shù)據(jù)歸檔服務(wù)（DRaaS）選項(xiàng)。而確保正在使用一個(gè)供應(yīng)商的云產(chǎn)品的所有方面保持適當(dāng)?shù)暮弦?guī)性水平是很重要的。云計(jì)算可能是符合用于數(shù)據(jù)存儲(chǔ)的HIPAA，而不是災(zāi)難恢復(fù)。
　　
　　ARCSERVE，作為附加服務(wù)提供給他們統(tǒng)一的數(shù)據(jù)保護(hù)設(shè)備，具有ARCserve云。他們的云基礎(chǔ)設(shè)施已審核，以確保它們HIPAA和PCI-DSS標(biāo)準(zhǔn)的4SSAE-16認(rèn)證的數(shù)據(jù)中心。數(shù)據(jù)傳輸?shù)綌?shù)據(jù)中心客戶(hù)的網(wǎng)站出現(xiàn)在源安全SSL連接和使用AES-256加密數(shù)據(jù)，在云中傳輸。用戶(hù)可以從他們的UDP設(shè)備的控制臺(tái)管理其加密密鑰。
　　
　　ARCSERVE有DRaaS產(chǎn)品，在云中為客戶(hù)提供一個(gè)虛擬機(jī)，并讓他們通過(guò)一個(gè)安全的VPN訪問(wèn)虛擬機(jī)和數(shù)據(jù)。此外，他們還可以執(zhí)行與RTO，RPO，以及SLA驗(yàn)證的自動(dòng)化災(zāi)難恢復(fù)測(cè)試。
　　
　　Datto公司則是另一家云計(jì)算數(shù)據(jù)保護(hù)設(shè)備供應(yīng)商，他們運(yùn)行兩個(gè)安全的數(shù)據(jù)中心都采用了SSAE-16/SOC-II認(rèn)證。他們的云服務(wù)是符合HIPAA（他們將簽署“證明事實(shí)），并且剛剛收到PCI合規(guī)認(rèn)證。Datto公司使用AES-256加密，客戶(hù)可以選擇在Datto數(shù)據(jù)流添加另一層加密。為了確保災(zāi)難恢復(fù)過(guò)程中也保持HIPAA合規(guī)性，Datto可以將客戶(hù)的應(yīng)用程序運(yùn)行在一個(gè)隔離區(qū)域，將它們與其他的云進(jìn)行隔離，并通過(guò)安全連接提供獨(dú)占訪問(wèn)服務(wù)。
　　
　　他們還有一個(gè)功能叫做截圖備份驗(yàn)證，在那里他們模擬恢復(fù)操作，從備份中運(yùn)行的虛擬機(jī)，并驗(yàn)證它們可以在災(zāi)難恢復(fù)情況進(jìn)行引導(dǎo)。然后，他們完成一個(gè)截圖引導(dǎo)過(guò)程，并通過(guò)電子郵件將測(cè)試的結(jié)果一起發(fā)送給用戶(hù)。
　　
　　Unitrends公司是一個(gè)長(zhǎng)期提供云存儲(chǔ)和DRaa服務(wù)的數(shù)據(jù)保護(hù)供應(yīng)商，提供兩種自己品牌的云存儲(chǔ)解決方案，這可以應(yīng)用于沒(méi)有限制的云中，或在用戶(hù)的數(shù)據(jù)中心可以動(dòng)態(tài)擴(kuò)展到Unitrends公司設(shè)備的規(guī)模?？梢允褂枚x的保留策略，無(wú)限期地保持檔案?jìng)浞?。無(wú)論使用哪種云選項(xiàng)，備份會(huì)自動(dòng)從用戶(hù)的現(xiàn)場(chǎng)Unitrends設(shè)備復(fù)制到他們的云。DRaaS可加入任一個(gè)沒(méi)有限制的云或永遠(yuǎn)云。
　　
　　Unitrends公司在運(yùn)營(yíng)著SSAE-16認(rèn)證的數(shù)據(jù)中心，并在空閑時(shí)間配置AES-256加密，以確保數(shù)據(jù)的安全。他們堅(jiān)持遵守HIPAA，PCI-DSS，SOX，GLBA和FINRA等法規(guī)。
　　
　　當(dāng)虛擬機(jī)在Unitrends公司的災(zāi)難恢復(fù)應(yīng)用時(shí)，Unitrends公司通過(guò)一個(gè)安全的VPN保護(hù)用戶(hù)接入。該客戶(hù)的網(wǎng)絡(luò)和存儲(chǔ)是云計(jì)算租戶(hù)的其余部分完全隔離。此外，為保證恢復(fù)的備份和災(zāi)難恢復(fù)工作負(fù)載會(huì)正常運(yùn)行，客戶(hù)可以添加Unitrends公司“ReliableDR產(chǎn)品的組合，以提供自動(dòng)化的工作負(fù)載應(yīng)用程序級(jí)的測(cè)試和驗(yàn)證。ReliableDR恢復(fù)并且在沙盒中區(qū)測(cè)試備份來(lái)驗(yàn)證一切，甚至多個(gè)虛擬機(jī)的應(yīng)用程序，將正常工作。通過(guò)RTO/RPO/SLA目標(biāo)比較實(shí)際值表明，他們也產(chǎn)生了一個(gè)報(bào)告。
　　
　　對(duì)于不遵守聯(lián)邦健康和財(cái)務(wù)數(shù)據(jù)保護(hù)規(guī)定的處罰可以說(shuō)是相當(dāng)嚴(yán)重的，而滿(mǎn)足合規(guī)性的挑戰(zhàn)，其法律本身很復(fù)雜。雖然云數(shù)據(jù)安全有明顯的優(yōu)勢(shì)，，如遷移到云中的即收即付的商業(yè)模式，人們必須考慮到另一層的復(fù)雜性。既然終負(fù)責(zé)確?？蛻?hù)的數(shù)據(jù)得到充分保護(hù)負(fù)責(zé)，企業(yè)必須對(duì)其云提供商提供的服務(wù)很清楚。選擇一個(gè)符合標(biāo)準(zhǔn)的云供應(yīng)商，幫助企業(yè)符合適當(dāng)?shù)谋O(jiān)管制度是其業(yè)務(wù)旅程的一個(gè)很好的開(kāi)端。