在美國的監管領域中,有許多必須遵守的政府監管的或行業監管的復雜法規。醫療服務提供者必須遵守HIPAA(健康保險流通與責任法案),而銀行、投資公司和保險公司必須遵守GLBA(格雷姆-里奇-比利雷法)。企業及其會計師準備財務報表符合SOX(薩班斯法案),以及信用卡產業符合PCIDSS(支付卡行業數據安全標準)。這些還包括對紙質文件和數字數據,內部部署和關閉等方面的規定。
在云計算中,增長最快速的領域是數據。那么誰負責保護這些數據?這個業務是什么?他們的云備份供應商是誰?他們的云計算擁有者是誰?答案就是最終的責任在于企業。
當涉及到云計算存儲和備份服務或云服務提供商時,這些組織好像沒有受到法規約束。供應商對此可能或可能不兼容,并且一個簡單的營銷信息也不會使他們受到制約。
更有趣的是,云計算供應商可能在他們提供的業務服務方面完全兼容,但這不符合他們的客戶業務的相同水平。例如,HIPAA要求組織的客戶提供商業服務機構必須具備作為一個“生意伙伴”的條件,該供應商不需遵守相同水平,并提供衛生保健業務的報告。
這是監管企業要記住的一個關鍵點:你還是要負責任。這是不是你的供應商的自動責任,以確保您的云存儲標準。這就是你的責任,供應商都可以提供你所需要的標準服務。
云備份供應商或云計算供應商
根據備份/歸檔數據或活動數據不同,基于云的數據遵守的規則也會有所不同,如SaaS。本文關注的是:如何與供應商合作,以證明在云中存儲的備份和歸檔的合規性。以HIPAA法案為例,其HITECH部分定義了用于數據存儲的技術、物理安全、安全的管理規則。
具體要求包括異地備份的安全性,其復原點目標RPO和復原時間目標RTO合規,安全的數據中心,加密,用戶訪問控制,漏洞傳播計劃,以及可核查的災難恢復計劃。任何云計算供應商聲稱遵守HIPAA,應該愿意簽署一份業務合作協議(BAA)這樣的官方證明,以證明他們是兼容這些復雜的要求。在理想的情況下,用戶的云備份供應商將能夠指導他的過程。而不是僅僅尋找“兼容存儲”,并從他的備份/云供應商尋找以下產品:
·恢復保證。災難恢復計劃應該提供自動化測試及合規性報告,以滿足災難恢復監管的具體要求。尋找那些不僅可以測試數據恢復,而且還可以恢復到機器水平的供應商。災難恢復即服務(DRaaS)產品或許能將故障轉移在云中,同時恢復虛擬機的應用程序和數據。
·驗證數據保留。注冊圍繞法規遵從和業務需求創建的數據保留協議。即對數據保留時間提供一個給定的規則,你的云存儲環境應該符合規定的含義。例如,雖然SOX不需要特定的保留期,也希望公司能立即產生影響財務報表的任何數據:不僅是會計記錄,也包括電子郵件和銷售報告文件。
·當前的合規性。作為一個受監管的公司,其最終停留在當前不斷變化的法規責任。你的備份供應商/MSP也應該這樣做。許多中等規模符合市場服務也可能跟不上監管的變化。尋找監管機構的要求,如HIPAA,PCIDSS,SOX,GLBA,以及其他任何一套新的制度,并影響你積極參與的行業。
·安全的數據中心。驗證云數據中心的物理安全性。要求在年度審計和遵從存儲實踐報告,并詢問有關類似SSAE-16的安全評級。還要詢問多租戶環境的分割政策,包括入侵的安全和嘈雜的鄰居管理措施。
·服務級別協議。制定復原點目標RPO和復原時間目標RTO的所有服務級別協議。以滿足業務需求,以及對數據和應用程序恢復的監管要求。
·數字安全。加密和用戶訪問控制是關鍵的數字安全措施。由同一個云供應商提供其他加密,查看你的備份供應商是否還提供了傳輸加密。與通過訪問控制,與供應商密切合作,以保護數據免受入侵,這些入侵不僅來自外部,也來自公司內部員工。可以獲得定期訪問審核是驗證合規性報告的目的。
數據保護供應商地址的HIPAA云計算合規
數據保護供應商通常為他們的客戶服務提供云存儲選項,以補充其現有的硬件/軟件產品。這些專業的數據保護云經常提供一個災難恢復即服務(DRaaS),除了基本的數據歸檔服務(DRaaS)選項。而確保正在使用一個供應商的云產品的所有方面保持適當的合規性水平是很重要的。云計算可能是符合用于數據存儲的HIPAA,而不是災難恢復。
ARCSERVE,作為附加服務提供給他們統一的數據保護設備,具有ARCserve云。他們的云基礎設施已審核,以確保它們HIPAA和PCI-DSS標準的4SSAE-16認證的數據中心。數據傳輸到數據中心客戶的網站出現在源安全SSL連接和使用AES-256加密數據,在云中傳輸。用戶可以從他們的UDP設備的控制臺管理其加密密鑰。
ARCSERVE有DRaaS產品,在云中為客戶提供一個虛擬機,并讓他們通過一個安全的VPN訪問虛擬機和數據。此外,他們還可以執行與RTO,RPO,以及SLA驗證的自動化災難恢復測試。
Datto公司則是另一家云計算數據保護設備供應商,他們運行兩個安全的數據中心都采用了SSAE-16/SOC-II認證。他們的云服務是符合HIPAA(他們將簽署“證明事實),并且剛剛收到PCI合規認證。Datto公司使用AES-256加密,客戶可以選擇在Datto數據流添加另一層加密。為了確保災難恢復過程中也保持HIPAA合規性,Datto可以將客戶的應用程序運行在一個隔離區域,將它們與其他的云進行隔離,并通過安全連接提供獨占訪問服務。
他們還有一個功能叫做截圖備份驗證,在那里他們模擬恢復操作,從備份中運行的虛擬機,并驗證它們可以在災難恢復情況進行引導。然后,他們完成一個截圖引導過程,并通過電子郵件將測試的結果一起發送給用戶。
Unitrends公司是一個長期提供云存儲和DRaa服務的數據保護供應商,提供兩種自己品牌的云存儲解決方案,這可以應用于沒有限制的云中,或在用戶的數據中心可以動態擴展到Unitrends公司設備的規模。可以使用定義的保留策略,無限期地保持檔案備份。無論使用哪種云選項,備份會自動從用戶的現場Unitrends設備復制到他們的云。DRaaS可加入任一個沒有限制的云或永遠云。
Unitrends公司在全球運營著SSAE-16認證的數據中心,并在空閑時間配置AES-256加密,以確保數據的安全。他們堅持遵守HIPAA,PCI-DSS,SOX,GLBA和FINRA等法規。
當虛擬機在Unitrends公司的災難恢復應用時,Unitrends公司通過一個安全的VPN保護用戶接入。該客戶的網絡和存儲是云計算租戶的其余部分完全隔離。此外,為保證恢復的備份和災難恢復工作負載會正常運行,客戶可以添加Unitrends公司“ReliableDR產品的組合,以提供自動化的工作負載應用程序級的測試和驗證。ReliableDR恢復并且在沙盒中區測試備份來驗證一切,甚至多個虛擬機的應用程序,將正常工作。通過RTO/RPO/SLA目標比較實際值表明,他們也產生了一個報告。
對于不遵守聯邦健康和財務數據保護規定的處罰可以說是相當嚴重的,而滿足合規性的挑戰,其法律本身很復雜。雖然云數據安全有明顯的優勢,如遷移到云中的即收即付的商業模式,人們必須考慮到另一層的復雜性。既然最終負責確保客戶的數據得到充分保護負責,企業必須對其云提供商提供的服務很清楚。選擇一個符合標準的云供應商,幫助企業符合適當的監管制度是其業務旅程的一個很好的開端。
京公網安備 11010502049343號