通過合規(guī)服務(wù),組織可以更多地依賴于云提供商,以確保遵守某些規(guī)定,而不會有任何風(fēng)險。
雖然談這趨勢還早,但越來越多的公有云提供商將開始按需的形式提供一種遵守和治理服務(wù)。而且,這樣做,他們中的許多人將開始處理諸如身份和訪問管理、加密和保證他們的用戶遵守監(jiān)管和合規(guī)要求這類的任務(wù)。
然而,這一治理和合規(guī)即服務(wù)的新模型本身也具有優(yōu)缺點。雖然它可以確保企業(yè)卸載一些合規(guī)責(zé)任,交給他們的云提供商,但是,這還是存在一些固有的風(fēng)險。這就要企業(yè)自己來解決了。
合規(guī)即服務(wù)的優(yōu)點
總部位于美國的一家全球公司必須遵守國家規(guī)定,以及其它國家與其業(yè)務(wù)相關(guān)的所有法規(guī)。與合規(guī)相關(guān)的流程和涉及的機(jī)制(例如所需的加密類型)的數(shù)量,跟蹤起來可能是一場噩夢。結(jié)果可能會導(dǎo)致被罰款,或都更糟糕的是違法——通常無意中觸犯的。
合規(guī)即服務(wù)背后的思想是簡化這一流程。為了滿足企業(yè)關(guān)于治理的業(yè)務(wù)需求,包括合規(guī)性,企業(yè)使用了云提供商的服務(wù)。這些服務(wù)提供了關(guān)于特殊規(guī)定的預(yù)置行為,如所需的加密等級或者需要隱藏的數(shù)據(jù)類型,企業(yè)所需要做的就只是鏈接到特定的云服務(wù)上。
例如,如果使用Amazon Web Services(AWS)的健康保險可移植性和責(zé)任法案(HIPAA)應(yīng)用,則要遵循AWS列出的一些一般策略,如將受保護(hù)的數(shù)據(jù)從處理和編排中解耦出來,這是HIPAA的一項要求。另一個要求是跟蹤數(shù)據(jù)流,以及在受保護(hù)和不受保護(hù)的工作流之間創(chuàng)建邏輯邊界。為了達(dá)到這種合規(guī)服務(wù)水平,AWS和其他云提供商要必須通過監(jiān)管測試,并過濾文件,實行清理工作。
合規(guī)即服務(wù)產(chǎn)生通常是可配置的,這意味著沒有任何開發(fā)需求。這可以做,多年來可以使節(jié)省數(shù)百萬美元,并減少遵守不斷變化的法規(guī)以及內(nèi)部和外部企業(yè)政策所需的工作。
另外,隨著時間的推移,云提供商將維護(hù)并更新這些服務(wù)。如果財務(wù)條例發(fā)生變化——這經(jīng)常發(fā)生,提供商也會相應(yīng)地調(diào)整它的合規(guī)服務(wù)。這意味著,作為這些服務(wù)的消費者,供應(yīng)商代表你執(zhí)行這些更改,你只需自動遵守就好。
合規(guī)即服務(wù)的缺點不論優(yōu)點如何,合規(guī)即服務(wù)并不是沒有缺點。最終,云用戶將對合規(guī)服務(wù)的任何問題負(fù)責(zé)。雖然有法律協(xié)議,但監(jiān)管機(jī)構(gòu)和罰款請求還是會找上你,不只是AWS,Google或Microsoft也會這樣。至關(guān)重要的是,你需要驗證合規(guī)服務(wù)以確保沒有問題,至少在你投入生產(chǎn)之前沒有問題。
另外,雖然云提供商提供了對于主要規(guī)定的合規(guī)服務(wù),如HIPAA和Sarbanes-Oxley,但是支持所有國家的規(guī)定是不可能的。此外, 這些是基于云的服務(wù),它就會一直存在風(fēng)險,當(dāng)由于某些服務(wù)不常使用,云服務(wù)提供商就不再繼續(xù)提供支持,即使你的企業(yè)還依賴于它們。
總之,這個想法是讓公司脫離自身遵守法律要求的業(yè)務(wù),并將流程、技術(shù)和機(jī)制外包給能夠以更有成本效益的方式進(jìn)行管理的供應(yīng)商。但在承諾之前,請牢記這些潛在的風(fēng)險。