摘要:AWS在云業務領域率先推出了責任分擔模式,意味著服務供應商與云服務消費者需要共同為業務安全承擔責任。一方面,AWS與其它云服務供應商負責 確保云基礎設施層面的安全性,而企業客戶則對存在于云環境下的數據、網絡、應用及操作系統進行保護。
Amazon Web Services (簡稱AWS)在云業務領域率先推出了責任分擔模式,意味著服務供應商與云服務消費者需要共同為業務安全承擔責任。一方面,AWS與其它云服務供應商負責 確保云基礎設施層面的安全性,而企業客戶則對存在于云環境下的數據、網絡、應用及操作系統進行保護。
很明顯責任共享模式給安全性乃至合規性帶來了巨大影響。因此,在探討云環境下的合規性時,責任共享模式意味著:
您的云服務供應商負責對云基礎設施進行合規保障。
您本身負責對云端的自有數據、網絡、應用及操作系統進行合規保障。
下面我們將深入對此加以闡述。
云環境到底有何不同
在云環境當中,一切因素最終都將歸結于所有權與控制權。云計算的靈活性、可擴展性及成本效益優勢在帶來諸多便利之外,也迫使企業客戶放棄自己的部分所有權及控制權。為了充分發揮這種優勢同時保持數據安全及系統兼容效果,供求雙方都需要承擔一部分責任。
以下為面對責任分擔模式時,大家需要考慮的兩項主要因素:
1. HIPAA要求商業伙伴簽訂合規性合約
在與任何遵循HIPAA合規性要求的企業建立商業合作時,我們都必須簽訂一份商業合作合約。人本質上講,這意味著其將利用責任分擔模式以實現合規性 要求。如果其中一方企業未簽訂這一合約,則HIPAA建議大家拒絕與之建立合作。目前全部主流云服務供應商皆在服務中為客戶提供HIPPA合規性保障。需 要強調的是,這些協議往往只涵蓋部分服務。因此大家必須關注以下要點:
盡管并非全部框架都需要采用這種正式協定的形式,但其基本概念同樣適用于其它合規性遵循方式。例如,如果供應商無法對自身基礎設施的PCI DSS標準做出直接且確切的描述,則可能意味著其不符合合規要求,這時大家應當繼續物色其它更理想的供應方。
最后,如果您的云服務供應商缺乏合規保障能力,而事故又真實出現,那么大家恐怕只能自求多福了。
2.確保了解自己的責任所在
要使用各類公有云計算基礎設施,大家首先需要了解自己需要為其中的哪些部分負責,從而滿足合規性要求。以下為供應商需要負責的各大基本要素:
計算
存儲
數據庫
網絡
供應商方面還需要負責其全球基礎設施,其中包括位于各服務區、可用區以及邊緣位置的服務器與其它硬件。
在另一方面,大家則需要負責以下要素的合規性保障:
平臺
應用程序
身份與訪問管理工具及流程
操作系統
網絡
防火墻配置
不少企業認為,只要將應用程序交付AWS,Amazon就會為其承擔全部責任。很明顯,實際情況并非如此。大家必須認真研究個中區別,并掌握策略設置與實際情況間的關聯。
責任分擔將為我們帶來強大的盟友
好消息是,在未來的業務運營當中我們將不再孤單。與AWS等值得信賴的技術巨頭合作,我們將在基礎設施層面擁有更為可靠的后盾。因此,我們只需要熟悉仍掌握在自己手中的部分,立足于細節做好充分準備,從而保證自上而下的整體合規性遵循。
京公網安備 11010502049343號