通過合規服務,組織可以更多地依賴于云提供商,以確保遵守某些規定,而不會有任何風險。
雖然談這趨勢還早,但越來越多的公有云提供商將開始按需的形式提供一種遵守和治理服務。而且,這樣做,他們中的許多人將開始處理諸如身份和訪問管理、加密和保證他們的用戶遵守監管和合規要求這類的任務。
然而,這一治理和合規即服務的新模型本身也具有優缺點。雖然它可以確保企業卸載一些合規責任,交給他們的云提供商,但是,這還是存在一些固有的風險。這就要企業自己來解決了。
合規即服務的優點
總部位于美國的一家全球公司必須遵守國家規定,以及其它國家與其業務相關的所有法規。與合規相關的流程和涉及的機制(例如所需的加密類型)的數量,跟蹤起來可能是一場噩夢。結果可能會導致被罰款,或都更糟糕的是違法——通常無意中觸犯的。
合規即服務背后的思想是簡化這一流程。為了滿足企業關于治理的業務需求,包括合規性,企業使用了云提供商的服務。這些服務提供了關于特殊規定的預置行為,如所需的加密等級或者需要隱藏的數據類型,企業所需要做的就只是鏈接到特定的云服務上。
例如,如果使用Amazon Web Services(AWS)的健康保險可移植性和責任法案(HIPAA)應用,則要遵循AWS列出的一些一般策略,如將受保護的數據從處理和編排中解耦出來,這是HIPAA的一項要求。另一個要求是跟蹤數據流,以及在受保護和不受保護的工作流之間創建邏輯邊界。為了達到這種合規服務水平,AWS和其他云提供商要必須通過監管測試,并過濾文件,實行清理工作。
合規即服務產生通常是可配置的,這意味著沒有任何開發需求。這可以做,多年來可以使節省數百萬美元,并減少遵守不斷變化的法規以及內部和外部企業政策所需的工作。
另外,隨著時間的推移,云提供商將維護并更新這些服務。如果財務條例發生變化——這經常發生,提供商也會相應地調整它的合規服務。這意味著,作為這些服務的消費者,供應商代表你執行這些更改,你只需自動遵守就好。
合規即服務的缺點不論優點如何,合規即服務并不是沒有缺點。最終,云用戶將對合規服務的任何問題負責。雖然有法律協議,但監管機構和罰款請求還是會找上你,不只是AWS,Google或Microsoft也會這樣。至關重要的是,你需要驗證合規服務以確保沒有問題,至少在你投入生產之前沒有問題。
另外,雖然云提供商提供了對于主要規定的合規服務,如HIPAA和Sarbanes-Oxley,但是支持所有國家的規定是不可能的。此外, 這些是基于云的服務,它就會一直存在風險,當由于某些服務不常使用,云服務提供商就不再繼續提供支持,即使你的企業還依賴于它們。
總之,這個想法是讓公司脫離自身遵守法律要求的業務,并將流程、技術和機制外包給能夠以更有成本效益的方式進行管理的供應商。但在承諾之前,請牢記這些潛在的風險。
京公網安備 11010502049343號