什麼是資料主權?
資料主權是指資料應受其實體所在地的法律法規約束。這可以指儲存、處理或傳輸中的資料,而與組織的實體位置無關。
在任何國家、州、地區或司法管轄區內儲存、處理及傳輸的所有資料,均受資料使用及隱私權保護相關法律法規的約束。資料主權法旨在保護及制約個人、組織與政府。資料保護法規包括處理個人健康資料的規則、公共部門資訊的資料安全層級,以及針對外國公司建立本地資料儲存的規定。
資料落地與資料主權有何差異?
資料落地位置是指資料以實體方式存放的位置。資料主權是指某一地點的法律如何適用於以實體方式存在於該地點的資料。由於資料可儲存在世界各地,因此資料主權與資料落地在雲端運算及雲端服務中尤其重要。
所有雲端儲存、執行個體及服務都執行於與特定地理位置關聯的實體機器。由於監管環境各有差異,各組織必須認真考慮其雲端執行個體的部署位置和雲端服務的執行位置。這些儲存體與執行個體的資料主權是一項極為重要的決定。
資料主權通常屬於組織網路安全與法律計畫的治理、風險及合規職能範疇。
什麼是 AWS 數位主權承諾?
AWS 數位主權承諾是我們向 AWS 客戶提供雲端中可用的最先進主權控制和功能集的承諾。您可以靈活選擇要針對資料本地化執行工作負載的方式和位置。
AWS 數位主權承諾概述了 AWS 在功能方面正在投資的四個關鍵領域,以便助力客戶滿足其不斷演變的數位主權要求。
控制資料駐留位置
組織必須能始終選擇其資料駐留位置。AWS 一直以來都讓客戶能夠選擇其資料駐留位置,其 AWS 區域及可用區遍及北美、南美、歐洲、中東、非洲、亞太地區,以及澳洲與紐西蘭。
若 AWS 區域距離不夠近,無法滿足您的資料落地需求,AWS 可提供各種分散式基礎結構服務,能夠在地理界限內提供持續一致的雲端體驗。藉助 AWS 區域、AWS Local Zones、 AWS Dedicated Local Zones、AWS Outposts,以及 AWS Wavelength,您可在需要駐留資料的任意位置執行工作負載。
控制資料存取權
組織必須設置保護措施,來阻止未經授權存取資料。舉例來說,AWS Nitro System 設計為強制執行限制,因此包括 AWS 全體人員的任何人皆無法存取 EC2 上的客戶工作負載。視乎資料類型,必須建置存取許可與限制,來確保最高層級的資料防護。
資料加密功能
組織必須能夠對傳輸中的資料、靜態資料,以及記憶體資料進行加密。組織資料應預設使用加密技術,並且可根據需要來選擇更強的加密技術。所有 AWS 服務均已支援加密,大多數服務也支援使用客戶自管金鑰 (AWS 無法存取) 來加密。
雲端復原能力
組織必須能夠在實現數位主權的同時,不會面臨資料遺失風險。對資料的控制以及高可用性是資料主權的重要考慮,這需要組織能夠主動降低資料遺失風險。這樣一來,即使發生非預期情況亦能保持運作。目前,AWS 提供任何雲端供應商的最高網路可用性。每個 AWS 區域包含多個可用區域 (AZ),這些可用區域是完全隔離的基礎架構分區。若要更能隔離問題並達到高可用性,客戶可以在相同 AWS 區域的多個可用區域間分割應用程式。
如何實作資料主權考量?
了解並納入資料主權要求,對於確保合規性不可或缺。您開始主權之旅時應關注以下考量:
資料本地合規計畫
要遵守法律,首先應了解制約組織營運的法規。這些資料法律與法規可能涵蓋您的企業的地理營運區域、存放及處理的資料類型 (例如運作狀態、財務狀況)、客戶及您的員工自己的資料,以及資料收集日誌的保存時長。
進行相關研究,以及與相關監管機構與執法機構溝通,以便確保您在建立合規系統,以及了解報告不合規情況的程序。
並非每間公司都設置有資料主權專家。與合規顧問協作,可能對於及時了解不斷演變的法規非常有益。
實作精細的存取控制項
哪怕僅有一位使用者複製資料到另一個實體位置,資料落地亦可有可能遭到破壞。為防止發生此狀況,首先要考量基礎、最佳實務,以及身分及存取管理,然後針對高皆管理員實作嚴格的權限存取控制項。
您可藉助 AWS Control Tower,來協助自動執行及監控儲存位置、加密資料,以及強制執行資料落地防護機制。AWS Control Tower 控制程式庫包含一系列數位主權控制項。藉助這些控制項,能夠強制執行資料主權組態、阻止動作、偵測資源變更、強制執行精細的存取限制、啟用預設加密,以及提供復原能力。
針對任務關鍵型系統建置復原能力
企業能夠在災難中保持持續運作,取決於可靠的備份與容錯移轉系統。為遵循資料主權法規,這些系統必須駐留於相同的區域,以便在您的典型操作中確保具有相同的資料主權。
針對您的任務關鍵型系統建置復原能力,這意味著需要分發資料至多個可用區域,以便增強資料本地化。
客戶若在內部部署或針對遠端使用案例執行工作負載,您可使用提供特定功能的 AWS 服務,以便在網路中斷期間,以及針對遠端運算及儲存持續提供支援。這些服務包括 AWS Outposts 及 Amazon EKS Anywhere。
尋找一位可提供透明度與保證的雲端合作夥伴
不只是選擇資料位置是一項重大決策,組織還必須能信任其雲服務提供者的系統可切實遵循司法管轄區的資料主權規則。諮詢合規專家,以及與服務提供者自己的合規團隊交談來獲得保證。
AWS 一律將客戶的選擇權置於資料主權之上,從而讓客戶能夠完全控制其資料的位置及移動。從一開始,AWS 的以設計為主權方法就贏得了客戶的信任,他們都是世界上最注重資料安全與隱私權的組織。
什麼是資料主權最佳實務?
確保目前資料環境的最新狀態,對於保障資料架構合規不可或缺。請考慮實作下列各項:
分類及保護敏感資料
保護敏感資料意味著設置內建控制項,包括標記、身分及存取管理、加密、隔離,以及針對靜態敏感資料、傳輸中敏感資料及處理中敏感資料制定的規則。
依據適用法律來選擇資料落地
基於對您的企業運作、客戶,以及資料類型所做的研究,選擇最滿足您需求的資料位置。謹記,資料位置需求可能隨著業務變更而有所變化,且資料主權可能會受到影響。
選擇受信任的雲端服務提供者
您可藉由嚴格審查公有雲服務提供者,在其資料主權保證方面獲得信任。在您選擇的資料位置,選擇一位擁有成熟營運體系的服務提供者。
及時了解合規義務
資料相關法律與法規不斷變更。您必須確保及時了解最新法規,預測新的要求,以及適當履行報告義務。在組織內部或合作夥伴公司選擇一位代表,負責隨時了解法律法規的變更情況。建立與您的義務一致的內部資料防護政策。
資料主權挑戰有哪些?
在全世界不同地理位置的資料儲存、處理與處置方面的法律法規差異很大。管轄範圍可能重疊,從而增加了資料存放與處理方面的額外資料法規。舉例來說,西班牙、法國與其他歐盟國家都有關於資料主權的內部法律,但同時也必須遵守歐盟法律。醫療保健與金融等高度監管的產業也有不同的監管規定。一些國家制定了關於原住民資料主權的法律,以保障原住民的權利。
開展境外業務可能對資料治理要求會產生影響。舉例來說,澳洲公司在處理歐盟公民資料時必須遵守 GDPR。
若是擁有多個全球註冊實體的組織,資料主權以及遵守不同域外法規方面變得極其複雜。
AWS 如何依據您的資料主權需求提供支援?
所有組織,無論大小,都必須認真考慮資料主權,以便確保其在資料管理方面始終遵循其法律義務。對於跨境營運、跨國公司,以及在高度監管產業中運營的組織來說,資料主權問題日益凸顯。需要考慮管理存放資料、傳輸資料,以及處理資料的方式。
選擇一位完全了解資料主權的雲端服務提供者很重要。雲端服務提供者必須能依據區域要求,為其客戶提供內建資料防護,以及廣泛的資料治理、數位身分,以及存取管理、資料安全及隱私權控制。
探索在 AWS 的數位主權,了解詳細資訊、案例研究,以及在此關鍵安全、身分及合規領域的最新產品更新。