在美国的监管领域中,有许多必须遵守的政府监管的或行业监管的复杂法规。医疗服务提供者必须遵守HIPAA(健康保险流通与责任法案),而银行、投资公司和保险公司必须遵守GLBA(格雷姆-里奇-比利雷法)。企业及其会计师准备财务报表符合SOX(萨班斯法案),以及信用卡产业符合PCIDSS(支付卡行业数据安全标准)。这些还包括对纸质文件和数字数据,内部部署和关闭等方面的规定。
在云计算中,增长最快速的领域是数据。那么谁负责保护这些数据?这个业务是什么?他们的云备份供应商是谁?他们的云计算拥有者是谁?答案就是最终的责任在于企业。
当涉及到云计算存储和备份服务或云服务提供商时,这些组织好像没有受到法规约束。供应商对此可能或可能不兼容,并且一个简单的营销信息也不会使他们受到制约。
更有趣的是,云计算供应商可能在他们提供的业务服务方面完全兼容,但这不符合他们的客户业务的相同水平。例如,HIPAA要求组织的客户提供商业服务机构必须具备作为一个“生意伙伴”的条件,该供应商不需遵守相同水平,并提供卫生保健业务的报告。
这是监管企业要记住的一个关键点:你还是要负责任。这是不是你的供应商的自动责任,以确保您的云存储标准。这就是你的责任,供应商都可以提供你所需要的标准服务。
云备份供应商或云计算供应商
根据备份/归档数据或活动数据不同,基于云的数据遵守的规则也会有所不同,如SaaS。本文关注的是:如何与供应商合作,以证明在云中存储的备份和归档的合规性。以HIPAA法案为例,其HITECH部分定义了用于数据存储的技术、物理安全、安全的管理规则。
具体要求包括异地备份的安全性,其复原点目标RPO和复原时间目标RTO合规,安全的数据中心,加密,用户访问控制,漏洞传播计划,以及可核查的灾难恢复计划。任何云计算供应商声称遵守HIPAA,应该愿意签署一份业务合作协议(BAA)这样的官方证明,以证明他们是兼容这些复杂的要求。在理想的情况下,用户的云备份供应商将能够指导他的过程。而不是仅仅寻找“兼容存储”,并从他的备份/云供应商寻找以下产品:
·恢复保证。灾难恢复计划应该提供自动化测试及合规性报告,以满足灾难恢复监管的具体要求。寻找那些不仅可以测试数据恢复,而且还可以恢复到机器水平的供应商。灾难恢复即服务(DRaaS)产品或许能将故障转移在云中,同时恢复虚拟机的应用程序和数据。
·验证数据保留。注册围绕法规遵从和业务需求创建的数据保留协议。即对数据保留时间提供一个给定的规则,你的云存储环境应该符合规定的含义。例如,虽然SOX不需要特定的保留期,也希望公司能立即产生影响财务报表的任何数据:不仅是会计记录,也包括电子邮件和销售报告文件。
·当前的合规性。作为一个受监管的公司,其最终停留在当前不断变化的法规责任。你的备份供应商/MSP也应该这样做。许多中等规模符合市场服务也可能跟不上监管的变化。寻找监管机构的要求,如HIPAA,PCIDSS,SOX,GLBA,以及其他任何一套新的制度,并影响你积极参与的行业。
·安全的数据中心。验证云数据中心的物理安全性。要求在年度审计和遵从存储实践报告,并询问有关类似SSAE-16的安全评级。还要询问多租户环境的分割政策,包括入侵的安全和嘈杂的邻居管理措施。
·服务级别协议。制定复原点目标RPO和复原时间目标RTO的所有服务级别协议。以满足业务需求,以及对数据和应用程序恢复的监管要求。
·数字安全。加密和用户访问控制是关键的数字安全措施。由同一个云供应商提供其他加密,查看你的备份供应商是否还提供了传输加密。与通过访问控制,与供应商密切合作,以保护数据免受入侵,这些入侵不仅来自外部,也来自公司内部员工。可以获得定期访问审核是验证合规性报告的目的。
数据保护供应商地址的HIPAA云计算合规
数据保护供应商通常为他们的客户服务提供云存储选项,以补充其现有的硬件/软件产品。这些专业的数据保护云经常提供一个灾难恢复即服务(DRaaS),除了基本的数据归档服务(DRaaS)选项。而确保正在使用一个供应商的云产品的所有方面保持适当的合规性水平是很重要的。云计算可能是符合用于数据存储的HIPAA,而不是灾难恢复。
ARCSERVE,作为附加服务提供给他们统一的数据保护设备,具有ARCserve云。他们的云基础设施已审核,以确保它们HIPAA和PCI-DSS标准的4SSAE-16认证的数据中心。数据传输到数据中心客户的网站出现在源安全SSL连接和使用AES-256加密数据,在云中传输。用户可以从他们的UDP设备的控制台管理其加密密钥。
ARCSERVE有DRaaS产品,在云中为客户提供一个虚拟机,并让他们通过一个安全的V**访问虚拟机和数据。此外,他们还可以执行与RTO,RPO,以及SLA验证的自动化灾难恢复测试。
Datto公司则是另一家云计算数据保护设备供应商,他们运行两个安全的数据中心都采用了SSAE-16/SOC-II认证。他们的云服务是符合HIPAA(他们将签署“证明事实),并且刚刚收到PCI合规认证。Datto公司使用AES-256加密,客户可以选择在Datto数据流添加另一层加密。为了确保灾难恢复过程中也保持HIPAA合规性,Datto可以将客户的应用程序运行在一个隔离区域,将它们与其他的云进行隔离,并通过安全连接提供独占访问服务。
他们还有一个功能叫做截图备份验证,在那里他们模拟恢复操作,从备份中运行的虚拟机,并验证它们可以在灾难恢复情况进行引导。然后,他们完成一个截图引导过程,并通过电子邮件将测试的结果一起发送给用户。
Unitrends公司是一个长期提供云存储和DRaa服务的数据保护供应商,提供两种自己品牌的云存储解决方案,这可以应用于没有限制的云中,或在用户的数据中心可以动态扩展到Unitrends公司设备的规模。可以使用定义的保留策略,无限期地保持档案备份。无论使用哪种云选项,备份会自动从用户的现场Unitrends设备复制到他们的云。DRaaS可加入任一个没有限制的云或永远云。
Unitrends公司在全球运营着SSAE-16认证的数据中心,并在空闲时间配置AES-256加密,以确保数据的安全。他们坚持遵守HIPAA,PCI-DSS,SOX,GLBA和FINRA等法规。
当虚拟机在Unitrends公司的灾难恢复应用时,Unitrends公司通过一个安全的V**保护用户接入。该客户的网络和存储是云计算租户的其余部分完全隔离。此外,为保证恢复的备份和灾难恢复工作负载会正常运行,客户可以添加Unitrends公司“ReliableDR产品的组合,以提供自动化的工作负载应用程序级的测试和验证。ReliableDR恢复并且在沙盒中区测试备份来验证一切,甚至多个虚拟机的应用程序,将正常工作。通过RTO/RPO/SLA目标比较实际值表明,他们也产生了一个报告。
对于不遵守联邦健康和财务数据保护规定的处罚可以说是相当严重的,而满足合规性的挑战,其法律本身很复杂。虽然云数据安全有明显的优势,如迁移到云中的即收即付的商业模式,人们必须考虑到另一层的复杂性。既然最终负责确保客户的数据得到充分保护负责,企业必须对其云提供商提供的服务很清楚。选择一个符合标准的云供应商,帮助企业符合适当的监管制度是其业务旅程的一个很好的开端。