通过合规服务,组织可以更多地依赖于云提供商,以确保遵守某些规定,而不会有任何风险。
虽然谈这趋势还早,但越来越多的公有云提供商将开始按需的形式提供一种遵守和治理服务。而且,这样做,他们中的许多人将开始处理诸如身份和访问管理、加密和保证他们的用户遵守监管和合规要求这类的任务。
然而,这一治理和合规即服务的新模型本身也具有优缺点。虽然它可以确保企业卸载一些合规责任,交给他们的云提供商,但是,这还是存在一些固有的风险。这就要企业自己来解决了。
合规即服务的优点
总部位于美国的一家全球公司必须遵守国家规定,以及其它国家与其业务相关的所有法规。与合规相关的流程和涉及的机制(例如所需的加密类型)的数量,跟踪起来可能是一场噩梦。结果可能会导致被罚款,或都更糟糕的是违法——通常无意中触犯的。
合规即服务背后的思想是简化这一流程。为了满足企业关于治理的业务需求,包括合规性,企业使用了云提供商的服务。这些服务提供了关于特殊规定的预置行为,如所需的加密等级或者需要隐藏的数据类型,企业所需要做的就只是链接到特定的云服务上。
例如,如果使用Amazon Web Services(AWS)的健康保险可移植性和责任法案(HIPAA)应用,则要遵循AWS列出的一些一般策略,如将受保护的数据从处理和编排中解耦出来,这是HIPAA的一项要求。另一个要求是跟踪数据流,以及在受保护和不受保护的工作流之间创建逻辑边界。为了达到这种合规服务水平,AWS和其他云提供商要必须通过监管测试,并过滤文件,实行清理工作。
合规即服务产生通常是可配置的,这意味着没有任何开发需求。这可以做,多年来可以使节省数百万美元,并减少遵守不断变化的法规以及内部和外部企业政策所需的工作。
另外,随着时间的推移,云提供商将维护并更新这些服务。如果财务条例发生变化——这经常发生,提供商也会相应地调整它的合规服务。这意味着,作为这些服务的消费者,供应商代表你执行这些更改,你只需自动遵守就好。
合规即服务的缺点
不论优点如何,合规即服务并不是没有缺点。最终,云用户将对合规服务的任何问题负责。虽然有法律协议,但监管机构和罚款请求还是会找上你,不只是AWS,Google或Microsoft也会这样。至关重要的是,你需要验证合规服务以确保没有问题,至少在你投入生产之前没有问题。
另外,虽然云提供商提供了对于主要规定的合规服务,如HIPAA和Sarbanes-Oxley,但是支持所有国家的规定是不可能的。此外, 这些是基于云的服务,它就会一直存在风险,当由于某些服务不常使用,云服务提供商就不再继续提供支持,即使你的企业还依赖于它们。
总之,这个想法是让公司脱离自身遵守法律要求的业务,并将流程、技术和机制外包给能够以更有成本效益的方式进行管理的供应商。但在承诺之前,请牢记这些潜在的风险。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
IDC指出:安全将成为公有云产品的核心竞争力
据IDC调查显示,仅2016年,全球范围企业业务因受到安全攻击,而造成了直接经济损失超过1000亿美元;而中国地区安全事故的损失也达到了100亿美元。
-
公有云安全:多一重身份 多一份保障
云是具有许多可独立工作的移动部件的分布式系统。包括存储和计算系统资源,以及更细粒度的服务,如API。
-
确保公有云安全:AWS IAM足够吗?
我们的企业希望能够限制其生成身份和访问管理策略时所花费的时间。对于这项任务,有什么工具可以帮助自动化完成吗?
-
公有云安全:哪个工具可以保证?
尽管我们的企业使用了一系列的AWS工具,我们还是希望能进一步提升数据的安全措施。那么,在AWS中,有哪些可用的工具来确保数据和资源的安全性呢?