評(píng)估云計(jì)算的公司必須考慮監(jiān)管法規(guī)給這種新型計(jì)算模式帶來(lái)的影響。要關(guān)注的一個(gè)方面就是,貴公司的任何數(shù)據(jù)是否受到美國(guó)出口管制條例的管制,包括未按要求獲得出口準(zhǔn)許,使用云服務(wù)會(huì)不會(huì)導(dǎo)致管制技術(shù)數(shù)據(jù)泄露出去。
及早考慮出口管制會(huì)給IT決策帶來(lái)什么影響很重要,因?yàn)槊绹?guó)的出口管制條例訂有嚴(yán)格的責(zé)任界定標(biāo)準(zhǔn);這就意味著,無(wú)論未經(jīng)準(zhǔn)許泄露數(shù)據(jù)的行為是意外的、疏忽的還是有意的,都算違反條例。公司和個(gè)人對(duì)違反出口管制條例的行為都要負(fù)法律責(zé)任。針對(duì)違規(guī)行為的懲罰很?chē)?yán)厲,每次違規(guī)需要支付25萬(wàn)美元到100萬(wàn)美元不等的罰金。個(gè)人有可能面臨長(zhǎng)達(dá)20年的徒刑。
最流行的云計(jì)算方案是公共云計(jì)算。一個(gè)常見(jiàn)例子是基于Web的電子郵件服務(wù),比如谷歌的Gmail。在公共云場(chǎng)景下,客戶(hù)一般無(wú)法控制也無(wú)法知道所提供資源的確切位置。而呈現(xiàn)在客戶(hù)面前的是一份標(biāo)準(zhǔn)的服務(wù)級(jí)別協(xié)議,基本上都是千篇一律的使用條款。要是無(wú)法根據(jù)公司的實(shí)際業(yè)務(wù)來(lái)確定具體的服務(wù)參數(shù),公共云解決方案很可能滿(mǎn)足不了出口管制標(biāo)準(zhǔn),如果說(shuō)有這種需要的話(huà)。
最近,一些云服務(wù)提供商一直宣傳自己的服務(wù)符合出口管制條例。了解美國(guó)針對(duì)技術(shù)數(shù)據(jù)的基本出口管制條例,應(yīng)該有助于公司確定提供給自己的云計(jì)算服務(wù)是不是滿(mǎn)足其所有系統(tǒng)和應(yīng)用程序在出口管制條例方面的要求。
IT部門(mén)必須確定自己的系統(tǒng)上有沒(méi)有包含出口管制的數(shù)據(jù),然后與法務(wù)部門(mén)共同制定一項(xiàng)計(jì)劃,以處理云環(huán)境內(nèi)外的這類(lèi)數(shù)據(jù)。為了便于本文討論,管制技術(shù)數(shù)據(jù)是指受到《國(guó)際武器貿(mào)易條例》(ITAR)或《出口管理?xiàng)l例》(EAR)管制的數(shù)據(jù)。這類(lèi)信息通常存在于出口管制商品或服務(wù)方面的藍(lán)圖、圖紙、模型、公式、規(guī)格、照片、方案、說(shuō)明或文檔中。
要是沒(méi)有出口準(zhǔn)許證,美國(guó)公司不得將管制技術(shù)數(shù)據(jù)出口到某些外國(guó)。比如說(shuō),將附有出口管制技術(shù)數(shù)據(jù)的電子郵件發(fā)給印度的客戶(hù)就是將數(shù)據(jù)出口到印度,這可能需要出口準(zhǔn)許。
出口管制條例還規(guī)定,要是未經(jīng)出口準(zhǔn)許,就不得在美國(guó)境內(nèi)或境外將出口管制技術(shù)數(shù)據(jù)發(fā)送給某些外國(guó)。(要是有人這么做,就被認(rèn)為是數(shù)據(jù)出口到該人的國(guó)籍所在國(guó))。這個(gè)規(guī)定常常讓許多公司覺(jué)得很驚訝。比如說(shuō),要是在美國(guó)的一名美國(guó)籍工程師把出口管制商品的設(shè)計(jì)藍(lán)圖交給同一家公司的正好是印度籍的同事,或者通過(guò)電子郵件發(fā)給這位同事,此舉就被認(rèn)為是出口到印度,可能需要出口準(zhǔn)許。
國(guó)防行業(yè)的公司也應(yīng)該認(rèn)識(shí)到這點(diǎn):按照ITAR,僅僅允許外國(guó)訪(fǎng)問(wèn)國(guó)防技術(shù)數(shù)據(jù),不管該外國(guó)有沒(méi)有實(shí)際查看數(shù)據(jù),都被認(rèn)為是出口行為,需要獲得準(zhǔn)許。
在公共云場(chǎng)景下,客戶(hù)一般無(wú)法控制也無(wú)法知道其數(shù)據(jù)的確切位置;實(shí)際上,其數(shù)據(jù)的多個(gè)副本可能存放在多個(gè)地方。向建在美國(guó)境外的數(shù)據(jù)中心提供出口管制數(shù)據(jù)會(huì)被認(rèn)為是出口到數(shù)據(jù)中心場(chǎng)地,這可能需要出口準(zhǔn)許。
此外,一旦公司把其數(shù)據(jù)交給服務(wù)提供商,那么這個(gè)客戶(hù)在控制誰(shuí)可以訪(fǎng)問(wèn)其數(shù)據(jù)方面能力有限。從安全的角度來(lái)看,這毫無(wú)疑問(wèn)是個(gè)大問(wèn)題。除了需要采取嚴(yán)格的安全控制外,擁有出口管制數(shù)據(jù)的公司還必須實(shí)施相應(yīng)措施,禁止外國(guó)訪(fǎng)問(wèn)其出口管制數(shù)據(jù)。
不放心把數(shù)據(jù)交給公共云的公司一直在考慮私有云模式或混合云模式。前一種模式是指,云服務(wù)提供商專(zhuān)門(mén)為一家企業(yè)建立云;后一種模式是指,數(shù)據(jù)和應(yīng)用程序能夠在私有云和公共云之間移植(以便比較敏感的數(shù)據(jù)能夠保存在私有云環(huán)境)。
不管是什么樣的情況,只要第三方服務(wù)提供商可以訪(fǎng)問(wèn)貴公司的出口管制數(shù)據(jù),都會(huì)帶來(lái)這樣的風(fēng)險(xiǎn):數(shù)據(jù)違規(guī)泄露給該第三方,對(duì)此貴公司需要負(fù)法律責(zé)任。
為了盡量減小違規(guī)泄露出口管制數(shù)據(jù)的風(fēng)險(xiǎn),你應(yīng)該向云服務(wù)提供商詢(xún)問(wèn)下列這些關(guān)鍵問(wèn)題:
- ·云服務(wù)是如何創(chuàng)建的,以便符合美國(guó)的出口控制條例?
- ·你的數(shù)據(jù)將存放在世界上哪個(gè)地方?
- ·敏感數(shù)據(jù)是如何隔離和控制的?
- ·任何外國(guó)都可以訪(fǎng)問(wèn)你的數(shù)據(jù)嗎?
- ·是否提供審計(jì)跟蹤記錄?
IT部門(mén)在評(píng)估云服務(wù)時(shí)弄清楚這些問(wèn)題顯得很重要。
原文名:Managing Export-Controlled Data In The Cloud 作者:Marsha McIntyre
