如果您曾从事过某种形式的正式工作,那么您很可能熟悉法规遵从性的概念。还记得当你接受这份工作的时候,你要签署上千份文件吗?在这些页面中,有几页详细说明了如何保护敏感信息,以及在这个过程中如何保护个人隐私。这包括关于正确存储、访问和共享信息的方法的指导,以及一旦发生数据泄露的报告程序。
例如,《健康保险便携性和责任法案》(Health Insurance Portability and Accountability Act,简称HIPAA)是医疗行业的监管立法,于20世纪90年代签署,目的是保护病人的隐私。该法律在本质上是整体的,这意味着它对患者信息进行保护,无论这些信息是通过硬拷贝还是数字存储,以及是否共享。为了加强保护患者医疗记录和其他机密数据的责任,医疗保健提供商及其合作伙伴将因不遵守规定而被处以重罚。在某些情况下,还对疏忽的当事人提出刑事指控。
如果您在政府部门(FedRAMP)、制造业(GMP)或房地产行业(CFPB)工作,则合规规则可能有所不同,并且还可能受到您是否向持卡人收取付款(PCI-DSS)的影响。尽管如此,如果您的组织同时担任多个角色,您也会发现自己陷入许多遵从性法规的困境。就好像合规领域还不是雷区一样,技术创新又增加了一个需要专业人士负责的层面:云。这意味着你现在必须减轻自己内部设备的风险,同时也要解决存储在第三方环境中的数据的风险。不可能吗?不。但前方的任务并不容易。你需要很多的纪律和一些战略合作伙伴的帮助。话虽如此,我们总结了5条建议,以确保云计算中的数据合规:
类型的云
尽管对某些人来说是显而易见的,但第一个技巧是对组织使用的云类型、微妙的差别以及是否适用独特的规则有一个明确的理解。例如,在讨论云存储时,将数据存储在使用内部数据中心资源的私有云中可能是风险最小的选择。这是因为部署的单租户特性。在此场景中,只有您组织的数据使用基础设施。另一种替代方法是使用AWS、Microsoft或谷歌提供的公共云解决方案。这些多租户体系结构可能成本更低,因为您与其他组织共享基础设施能力和资源。虽然这种消费方式在市场上被广泛采用,但在理论上并不安全。利用公共或混合云不一定是有害的,但在考虑合规时肯定应该考虑。
员工访问
员工的访问管理是成功保护数据的重要功能。考虑到用户数据的敏感性,您不希望任何人都能访问任何内容。构建策略以确保您的员工对他们需要访问的内容具有最不特权的访问权限。制定基于需求的访问策略,使员工只能在有限的时间内访问特定的资源。在一段时间后过期的访问将使执行攻击的窗口最小化。根据您的业务需求定期执行审计,以确保系统中只有有效用户存在。最后,您还必须能够演示已经实现了基于权限的访问。这种验证在某些行业是至关重要的。
服务提供者sla
除了您自己的员工之外,您还需要确保您的云提供商了解并有能力满足您的需求,因为它们与实现法规遵从性有关。你不能因为你的供应商的声誉而对这一行动项目置之不理或做出假设。与云提供商的服务级别协议必须非常明确角色和责任、事件响应执行和数据违规补救。与您的提供商达成的所有协议都必须符合管理您组织的规则。您还必须拥有修改SLA的选项,以适应法规遵循需求的变化。
数据加密
对于数字时代的任何企业来说,数据都是最有价值的资产。您希望确保采取了正确的措施来保护您的数据。确保您在休息时启用了加密。这种策略确保了数据不会被篡改,如果访问凭证曾经到达错误的手中。利用密钥管理服务或HSM加密磁盘上或数据库中的数据。当数据在传输时,确保数据通过SSL端到端移动。这可以帮助防止任何中间的数据盗窃。作为操作和支持的一部分,可以考虑一种散列机制,这样客户身份就不会被公开。如果加密将由您的云供应商提供,请彻底熟悉这个过程。确切地了解它们提供的加密类型以及涉及实现的详细信息。
区域和可用分区(az)
根据您所在的行业,您可能还需要遵守数据地理指南。这是指在你的供应商的国家或全球基础设施中数据存储的位置。通常情况下,敏感数据需要存储在原产国。如果您曾经被遵从性治理机构审计过,您还需要证明数据确实存储在需要的地方。
很全面的清单,是吧?我们也这么认为。但不幸的是,你现在还没脱罪。最后一个未解决的问题涉及到多云环境。在今天的数字经济中,现实情况是组织利用多个云提供商来实现其业务目标。例如,大型制造商可以在某些工作负载上使用AWS,在其他工作负载上使用Microsoft Azure。表面上看没什么大不了的。然而,虽然云服务提供商通常提供工具来满足您的遵从性需求,但他们只能为自己的解决方案这样做。这意味着您的遵从性覆盖是不完整的,因为您拥有的是孤立的快照,而不是整体的可见性。
那么,如何获得对云中的法规遵从性的整体支持呢?Nutanix Xi Beam维护AWS和Azure云的PCI-DSS、HIPAA、CIS等监管标准的云安全遵从性。您可以使用可定制的法规遵循策略和审计检查来满足特定的法规遵循需求。还要通过详细的分析和报告来监控您的表现。现在,Xi Beam每24小时进行一次审计,并允许您在预定的时间间隔设置审计。通过200多个自动审计检查和内置的安全合规策略,Xi Beam为您提供了对您的多云环境无与伦比的洞察。如果你感兴趣,你可以14天的免费试用为您自己测试平台:
免责声明:这个博客可能包含链接到外部网站,而不是Nutanix.com的一部分。Nutanix不控制这些网站,并对任何外部网站的内容或准确性不负任何责任。我们链接到外部网站的决定不应被认为是对该网站上任何内容的认可。
©2019 Nutanix, Inc.保留所有权利。本协议中提到的Nutanix、Nutanix标识和其他Nutanix产品和特征均为Nutanix, Inc.在美国和其他国家的注册商标或商标。此处提及的所有其他品牌名称仅供识别之用,且可能为其各自持有人的商标。