跳至主要内容
什么是数据主权? 数据驻留和数据主权之间有什么区别? 什么是 AWS 数字主权承诺? 如何落实数据主权相关考量? 数据主权的最佳实践有哪些? 数据主权的挑战有哪些? AWS 如何支持您的数据主权需求?

什么是数据主权?

数据主权是指数据受其物理位置的法律法规的约束。这可能指的是存储中、处理中或传输中数据(无论组织的物理位置如何)。

在一个国家、州、地区或司法管辖区内存储、处理和传输的所有数据均受有关数据使用和隐私保护的法律法规的约束。数据主权法律的制定旨在保护和管理个人、组织和政府。数据保护法规涵盖了处理个人健康数据的规则、公共部门信息的数据安全保障层级以及为外国公司建立本地数据存储等内容。

数据驻留和数据主权之间有什么区别?

数据驻留是指数据的实际存放位置。数据主权是指一个地区的法律如何适用于该地区内实际存在的数据。数据主权和数据驻留在云计算和云服务中尤为重要,因为可以在世界任何地方存储数据。 

所有云存储、实例和服务都在绑定到特定地理位置的物理机上运行。由于存在这些不同的监管环境,组织必须认真考虑其云实例的存放位置和云服务的运行位置。这些存储和实例的数据主权是一项非常重要的决定。

数据主权通常属于组织网络安全和法律计划的治理、风险与合规性部门的职责范畴。

什么是 AWS 数字主权承诺?

AWS 数字主权承诺中,我们承诺为所有 AWS 客户提供云中最先进的主权控制和特征组合。我们让您可以灵活地选择运行工作负载的方式和地点,以实现数据本地化。

AWS 数字主权承诺概述了 AWS 在四个关键能力方面所进行的投资,这些能力旨在帮助客户满足其不断变化的数字主权要求。

控制数据驻留的位置

组织必须始终能够选择其数据驻留的位置。AWS 一直让客户能够自主选择其数据驻留的位置,AWS 区域和可用区遍布北美、南美、欧洲、中东、非洲、亚太地区以及澳大利亚和新西兰。

当 AWS 区域距离较远,无法满足您的数据驻留需求时,AWS 会提供多种分布式基础设施服务,可在同一地理边界内提供一致的云体验。借助 AWS 区域、AWS Local ZonesAWS 专用本地区域AWS OutpostsAWS Wavelength,您可以在工作负载需要驻留的任何位置运行工作负载。

控制数据访问权限

组织必须采取保护措施来防止未经授权的数据访问。例如,AWS Nitro System 旨在强制实施限制,使任何人(包括 AWS 内部的任何人)都无法访问 EC2 上的客户工作负载。必须设置访问权限和限制措施,确保达到最高级别的数据保护标准,具体措施视数据类型而定。

数据加密功能

组织必须能够对传输中、静态和内存中的数据进行加密。组织数据应默认采用加密,如有需要,可选择更强的加密。所有 AWS 服务都已支持加密,其中大多数还支持使用 AWS 无法访问的客户自主管理型密钥进行加密。

云韧性

组织必须能够在没有数据丢失风险的情况下实现数字主权。对数据的控制和高可用性是实现数据主权的关键考虑因素,这要求组织积极采取措施来降低数据丢失的风险。这使您即使在发生意外事件时也能维持运营。目前,AWS 的网络可用性在所有云服务提供商中最高。每个 AWS 区域均由多个可用区 (AZ) 组成,可用区是完全隔离的基础设施分区。为了更好地隔离问题并实现高可用性,客户可以跨同一 AWS 区域中的多个 AZ 对应用程序进行分区。

如何落实数据主权相关考量?

了解并遵循数据主权要求对于保持合规性至关重要。以下是您开启数据主权之旅时的一些考量:

针对数据本地化合规性制定计划

遵守法律首先要了解适用于您组织运营的法规。这些数据法律法规可能涵盖您企业的地理运营区域、您存储和处理的数据类型(例如健康数据、财务数据)、客户数据和员工自己的数据,以及数据收集日志的保存期限。

开展研究并与相关监管机构和执法机构进行沟通,确保您所构建的系统符合规定,并且您清楚在出现违规情况时的处理流程。

并非每家公司都配备了数据主权专家。与合规顾问合作有助于及时了解不断变化的法规要求。 

实施精细访问控制

如果只有一个用户将数据复制到另一物理位置,则可能会损害数据驻留。为防止出现这种情况,请从基本的、可作为最佳实践的身份和访问管理开始,对权限提升的管理员实施严格的特权访问控制措施。 

为帮助您自动化和监控存储位置、对数据加密以及实施数据驻留防护机制,您可以使用 AWS Control Tower。AWS Control Tower 控件库包含一组数字主权控件。这些控件可以实施数据主权配置,阻止某些操作,检测资源变更情况,实施精细访问限制,启用默认加密,以及提供弹性功能。

增强任务关键型系统的弹性

发生灾难时的业务连续性取决于可靠的备份和失效转移系统。为遵守数据主权法规,这些系统必须位于同一区域内,以保持与您的典型运营相同的数据主权。

增强任务关键型系统的弹性意味着将数据分布在多个可用区,以增强数据本地化。

对于在本地运行工作负载的客户或对于远程使用案例而言,您可以使用提供特定功能的 AWS 服务,这些服务能够在网络中断期间提供持续支持,并支持远程计算和存储。这些服务包括 AWS OutpostsAmazon EKS Anywhere

寻找提供透明度和保障的云合作伙伴

选择数据位置不仅是一项重大决策,而且组织还必须能够确信其云服务提供商的系统确实符合所在司法管辖区的数据主权规定。请安排一位合规专家,并与提供商自己的合规团队进行交流,以获得保证。

AWS 始终将客户的选择权置于其数据主权之上,让客户完全掌控其数据的位置和移动。从一开始,AWS“设计理念围绕数据主权”的方法就为我们赢得了客户的信任,这些客户都是全球各地注重数据安全与隐私保护的组织。

数据主权的最佳实践有哪些?

及时了解当前数据环境对于维护合规的数据架构至关重要。考虑实施以下措施:

整理并保护敏感数据

保护敏感数据意味着采取内置控制措施,包括标记、身份和访问管理、加密、隔离以及针对静态、传输中和处理中敏感数据的规则。 

根据适用法律选择您的数据驻留

根据您对业务运营、客户和数据类型的研究,选择有效满足需求的数据位置。请记住,您的数据位置需求可能会随着业务的变化而发生变化,这可能会对数据主权产生影响。

选择值得信赖的云提供商

通过严格审查公有云提供商,您可以对其数据主权保证建立起信任。选择在您所选数据位置拥有成熟运营经验的提供商。 

及时了解合规义务

与数据相关的法律法规在不断变化。您必须确保及时了解最新法规,预测新要求并履行报告义务。在您的组织内部或合作伙伴公司中挑选一位代表,由其负责及时了解相关法律的最新变化。制定与您的义务相一致的内部数据保护政策。

数据主权的挑战有哪些?

世界各地不同的地理位置在数据存储、处理和管理方面有着千差万别的法律法规。司法管辖区可能会重叠,使得在存储和处理数据时需要遵循更多层面的数据法规。例如,西班牙、法国和其他欧盟成员国都有各自关于数据主权的内部法律,但同时也必须遵守欧盟的相关法律。医疗保健和金融等受到严格监管的行业也各自存在不同的法规。一些国家制定了有关原住民权利的原住民数据主权法律。 

开展境外业务可能会对您的数据治理要求产生影响。例如,澳大利亚公司在处理欧盟公民数据时必须遵守通用数据保护条例 (GDPR)。 

对于拥有多个全球注册实体的组织而言,数据主权问题以及对不同境外法规的遵守变得极为复杂。

AWS 如何支持您的数据主权需求?

各种规模的组织都必须仔细考虑数据主权问题,以确保始终履行在数据管理方面的法律义务。对于跨境运营、跨国公司以及严格监管行业的组织而言,数据主权方面的考量愈发重要。想想您是如何管理数据存储、数据传输和数据处理的。

选择一家充分了解数据主权的云提供商非常重要。您的云提供商必须根据区域要求为其客户提供内置的数据保护,并提供广泛的数据治理、数字身份以及访问管理、数据安全和隐私控制。

探索 AWS 数字主权,以获取有关安全性、身份与合规性这一关键领域的更多信息、案例研究和最新产品更新。