企业将面临的合规性难题
随着终端用户对个人数据的安全性变得越来越敏感,像开放式银行这样的举措开始生效,这些挑战只会越来越大。这就是为什么组织不应该回避公共基础设施的原因,而应该把它们作为混合云产品的一部分加入合规性的行列。
随着欧盟的通用数据保护条例(GDPR)即将实施,希望在欧盟地区运营业务的企业不得不花费比以往更多的时间来考虑合规性问题。
对于许多组织来说,不仅需要考虑所有可识别个人身份的客户数据,其内部流程也必须更新。而组织的员工需要接受教育和培训,以确保符合2018年5月25日实施的GDPR法规。这个任务说起来容易,做起来难。
当然,GDPR法规只是组织面临的立法挑战之一。例如,金融服务公司已经修订了金融工具市场指令(也称为MiFID II)的回应版本,而英国电信行业正面临在英国脱欧后实施新立法的前景。
随着行业法规日趋严厉,组织有可能面临大规模的经济处罚,以及声誉受损和客户流失的威胁,因此不能掉以轻心。
然而,担心新的基础设施在合规性管理方面的复杂性,以及确保现有系统准备就绪的努力,这些正促使许多企业放弃了云计算服务,尽管云计算服务提供了诸多好处。这种担忧主要是由于一种误解,即在云平台这个第三方共享系统持有数据与传统内部部署系统相比而言可能更困难,并且可能不太安全,但事实上却大相径庭。
公共云服务其实非常安全,而且通常比内部部署系统更安全。那么,这种误解背后到底是什么呢?为什么企业应该按照其遵从性需求而信任公共云服务呢?
从表面上看,很容易看出为什么很多人会认为内部部署基础设施更安全和易于管理。在理论上,组织需要确切地知道他们的数据存储在哪里以及谁有权访问它们,这两方面都为组织提供了便利。
他们还可以根据自己的特定需求和偏好来设计架构,并在公共云提供商退出业务时降低数据丢失的风险。
有人可能会认为,这样的设置对那些在高度管制的行业(如医疗保健和金融服务业)运营的企业尤其有吸引力,因为它们需要对其数据管理具有更大的可见性和控制权。
但是,企业应该明白,运营自己的私有云就要担负安全和遵从的责任。企业的运营有时会受到大自然的突发事件和电力中断的束缚,如果出现问题,可能会让他们感到束手无策。
而组织也容易受到心怀不满的员工和内部数据盗窃的威胁。员工可以轻松访问机密数据,有时几乎无法阻止他们窃取公司信息,因为只需从服务器中拔出磁盘离开即可。员工通常在工作中使用自己的U盘,这其中可能含有恶意软件或病毒。而组织通常会部署防火墙作为一种阻止入侵者的有效手段,但其后门可能以传统和不安全的网络连接的形式存在,或者具有糟糕的访问控制流程,以及相关员工可能长时间离开公司,这对组织来说都是隐患。
因此,只是因为基础设施位于自己的数据中心内并不意味着它本质上更安全、更具弹性或适合满足法规遵从性的需求。
尽管一些企业认为数据存储在自己数据中心可能会感觉更安全,但数据的位置只是安全性和合规性的一方面。
除了提供创新的新服务以实现业务增长外,公共云提供商的任务还要保护其客户的数据。因此,他们的价值主张的核心组成部分是交付系统、工具和连续性计划,使他们的云计算基础设施安全可靠。
这适用于虚拟和物理的保护手段。企业数据将存储在一个安全的设施中,并具有多层次的物理安全性,如果企业选择在内部运行其云基础设施,则通常不会出现这种情况。
而且,随着市场竞争的持续快速增长,确保合规性不仅对那些提供公共云服务的组织具有更好的竞争优势,而且对获得客户的信任和忠诚度也至关重要。在这方面,一些云计算提供商正在引领这一方式,其价值主张非常重视合规性。
公共云提供商也可能会定期进行软件修补,这对管理合规性至关重要。自己运行私有云的组织通常在修补安全漏洞方面更晚一些,这使其面临潜在的数据泄露和合规漏洞。最近的Spectre和Meltdown漏洞就是一个很好的例子,谷歌、微软和亚马逊都在这些问题被公开后快速修补系统。与此同时,许多企业仍在确定他们需要修补哪些系统以及如何去做。
此外,公共云提供商往往拥有高度熟练和经验丰富的IT团队,这对于其他组织来说不具备这样的能力。在云计算世界中,技能差距问题是一个非常普遍的问题,组织发现吸引优秀开发人员的难度比以前更大。当涉及到更多技术上的挑战时,这就产生了问题,但可以通过采用第三方的基础设施来解决。
此外,组织不会孤独无助地抵御攻击,而技能论证为使用第三方供应商的服务而确保遵守法规的优点提供了强有力的支持。
这些因素的结合意味着在许多情况下,对于具有高安全性和合规性要求的系统,在公共云上运行实际上可能比私有云更好。对于组织而言,这无疑是一个不太复杂的选择,并且可以帮助他们更加有效地应对不断变化的监管格局。
随着终端用户对个人数据的安全性变得越来越敏感,像开放式银行这样的举措开始生效,这些挑战只会越来越大。这就是为什么组织不应该回避公共基础设施的原因,而应该把它们作为混合云产品的一部分加入合规性的行列。