引导数据驻留和保护敏感数据

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/HYB309-Navigating_data_residency_and_protecting_sensitive_data-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 数据驻留是收集和存储敏感信息（包括个人识别信息 (PII)、财务数据、医疗保健数据或与国家安全相关的信息）的组织的关键考虑因素。当组织在多个地区运营时，确保数据的处理符合当地法律法规可能是一项挑战。在本论坛中，回顾数字主权和数据驻留的关键方面，并根据数据的存储、处理和传输方式深入研究数据驻留场景。了解如何使用亚马逊云科技混合和边缘服务加速数字转换，同时保持对数据的控制。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1300字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 云计算的承诺和潜力在本质上是乌托邦式的——开发者可以编写应用程序并在附近的云区域中启动它们，使得企业能够轻松地在世界任何地方运行工作负载并访问数据。然而，对于许多全球企业来说，现实要复杂得多，因为它们的运营受到不同的数据主权法规的限制，这些法规规定了基于地理位置如何管理和部署工作负载。如果监管框架没有得到妥善处理，这些公司将面临开发者的头痛和严重的法律风险，而非无缝无摩擦的计算。 全球范围内，数据主权法规正在迅速扩大。目前有137个不同国家已经实施了或正在实施控制跨边界数据移动和处理的监管框架。虽然欧洲通常是全球数据本地化法律的中心，尤其是与GDPR一起，但全球范围内不断制定新的数据居住规定。此外，这些不同的国家和地区的监管框架并不平等。在不同管辖区，限制和要求存在显著差异，导致出现阻碍无缝云计算的分裂。这种数据居住规定的多样性和分裂已成为在全球开展业务的永久且不断扩大的成本。 推动和数据本地化指令背后的驱动力和动机在不同的监管者之间有所不同： - 数据隐私 - 一些国家，如沙特阿拉伯，有全面的限制，禁止将消费者个人信息转移到国外。其他国家，如南非，采取更灵活的方法，允许数据转移到其他具有类似严格隐私法的司法管辖区。像埃及和印度这样的国家允许跨境数据传输，但只要公民明确同意。 - 行业保密性 - 一些数据居留控制旨在保护被视为对国家安全或经济成功至关重要的关键国内产业。例如，印度允许金融服务的记录暂时在国外处理，但主要副本必须留在印度。韩国认为GIS和半导体数据至关重要，因此它们通常不能离开公司防火墙。沙特阿拉伯对其石油和天然气相关的数据高度保护。 越南的监管方法旨在确保主要数据处理在国内进行，以支持和发展强大的本地IT产业和技术技能。有些国家希望在需要时能够独立于外部世界并自主运行。数据本地化支持国家的独立性和行业竞争力。亚马逊云科技将这些不同的动机和要求视为“数字主权”的不同方面。2022年11月，亚马逊云科技承诺将给予客户对数据位置的控制权、可验证的访问控制、普遍加密以及支持数据合规的技术创新。亚马逊云科技与全球监管者紧密合作，制定解决方案。 在服务方面，亚马逊云科技提供一系列选项以满足数据居住和本地化需求：区域（Region）——如果监管条件允许，使用亚马逊的全球基础设施区域是最好的方法，它提供了规模经济、广泛的服务和专业能力。地区（Zone）——这些是类似于特殊隔离的亚马逊可用区，通常位于最近的区域的500公里或更远的地方。当地区域使亚马逊能够在关键管辖区快速提供云基础设施。该公司目前在全球拥有36个当地区域地点。前哨基地（Outpost）——这种服务将亚马逊的基础设施、服务和API引入到客户的数据中心或托管设施中。它在当地提供管理的亚马逊云能力来满足数据居住需求。前哨基地目前在100多个国家/地区上线。欧洲主权云——这是一个与美国亚马逊政府云类似的概念——一个位于欧盟的孤立的亚马逊区域，具有基于欧盟的服务、支持和硬件。第一个计划是在德国。 一些客户示例和使用案例说明了如何应用这些服务：NaturalSoft - 这个西班牙软件公司在全球成功地向医疗保健提供者销售解决方案。然而，国际扩张引发了每个地方的数据居住问题。通过从自己的硬件迁移到亚马逊的本地区域，NaturalSoft 可以轻松地在智利、阿根廷、秘鲁和迈阿密等新管辖区启动，易于云扩展。 FanDuel，全球最大的在线实时博彩公司，在美国受到联邦和州法律的监管。其生产环境在亚马逊云科技各州的Outposts上运行，以满足当地法规要求。这使上市时间从15周缩短至获得监管批准后仅8天。通过Outposts，性能得到提高，且基础设施保持一致。客户由此得出两个关键的架构经验教训：识别符合属地法规范围的数据是影响设计选择、服务选择和投资决策的关键步骤；适当的数据分类指导合适的数据隔离和安全控制。数据属地并非非此即彼的选择——而是存在一个带有灰度的谱系。特定要求因行业、国家和甚至个别公司背景而异。亚马逊云科技的服务连续性为客户提供了灵活性，以找到其监管义务的正确平衡。受监管的数据副本可以在征得适当同意或授权的情况下存储在地理管辖范围之外，特别是在转移到具有类似严格管理的一些地区时。在这些情况下，即使某些数据必须本地存储，亚马逊云科技的区域仍能实现规模经济和服务的广度。然而，一些规定要求主要数据副本必须位于特定的边境甚至特定的数据中心。在这种情况下，亚马逊云科技的Local Zones、Outposts和仔细的数据分类可以本地分离受监管的工作负载，同时保持合规性。例如，一个金融服务应用程序可能在亚马逊云科技云端处理交易，但将付款细节路由到位于该国的Outposts实例，以满足监管的主要数据居住规则。亚马逊云科技的混合能力允许快速部署到新区域，在不同环境之间保持一致性，并通过单一控制面板进行统一管理，即使在满足本地化的数据居住需求的同时。架构模式利用亚马逊云科技的区域来实现规模经济，但仍符合国内的规定要求。 一家电子商务公司，在国家A和国家B开展业务，需要在每个国家分别存储客户的数字钱包数据。因此，应用程序的逻辑将负责监管支付数据与国家B的外围节点隔离，而非监管数据仍将保留在亚马逊云科技的区域内。这样避免了对每个辖区重复整个应用程序堆栈的问题。 作为体育博彩提供商，公司需要根据美国联邦和州法律在其客户所在的各州范围内进行交易。因此，他们使用Route 53将用户引导到州内的应用程序，这些应用程序托管在外围节点上。非监管数据，如用户配置文件和偏好，可以集中存储在亚马逊云科技的区域内，以支持全球营销个性化。 亚马逊云科技的控制塔和服务控制策略提供了安全防护措施和管理控制，以满足本地化数据的要求： - 控制塔允许管理员设置监管数据的允许地区和账户，而服务控制策略可以明确拒绝某些数据操作，如快照或备份到亚马逊云科技的区域内。这防止了意外的非合规数据移动。 - 控制塔还强制执行数据居留“护栏”对于账户和工作负载，确保合规性。 总的来说，数据主权带来了复杂的挑战，但亚马逊云科技提供了一套云计算功能，使客户能够构建符合其特定法规义务和技术需求的合规、高效解决方案。从区域到本地区域再到外围节点的亚马逊云科技服务的范围允许有思想的数据分类和治理控制，尽可能利用云的益处，同时仍然满足全球各行业和管辖权的地方化规定。 **下面是一些演讲现场的精彩瞬间：** 一位客户的事例揭示了法规如何处理数据处理过程，而非数据管理，这仍可在使用Amazon Web Services的地区实现。  分析员绘制的图表展示了不同国家/地区对数据限制的差异，其中中国的管制最为严格，而巴拿马则相对宽松。  领导者们强调，不同国家和行业都有各自独特的数据法规和要求。  他们探讨了数字主权的概念，即允许各国在当地发展技术技能和技术基础设施。  通过Amazon Web Services Outposts，可以在本地运行Amazon Web Services的基础设施，以满足严格的数据居留要求和降低延迟。  领导者们展示了一个政策会拒绝RDS备份访问的情况，除非备份目标是Outpost。  ## 总结 这段演讲探讨了如何应对数据居留规定以及保护云计算环境中敏感数据的方法。主要观点是，尽管云计算具有美好的前景，但在现实中，企业必须面对世界各地限制数据存储和处理地点的各种主权法律法规。 演讲者首先概述了全球范围内的数据居留法规，指出这些法规在137个国家中普遍存在，且其背后的动机各异，从隐私到经济独立。一个重要观点是，即使在同一地区，如欧盟内，法规的严格程度也有所不同。 接下来，演讲者列出了亚马逊云科技服务提供的帮助满足法规要求的服务，包括用于进入新城市的本地区域、用于内部云端部署的Outposts，以及一个新的与亚马逊云科技其他基础设施隔离的欧盟主权云区域。他指出，由于可以控制数据的地理位置，Outposts连接到亚马逊云科技不会违反已知情况下的数据居留法规。 最后，演示展示了如何使用亚马逊云科技的控制塔策略来管理账户，防止未经授权的数据从Outposts中移动，从而强制执行数据居留要求。例如，策略可以拒绝跨区域的快照或在不允许的子网之外启动实例。演讲者强调了适当的数据分类以及使用亚马逊云科技的混合服务的弹性连续性以保持合规性。 总之，虽然数据法规很复杂，但亚马逊云科技提供了工具来帮助设计合规解决方案，满足居留规则，并在云中安全地创新。行动呼吁是利用亚马逊云科技的一系列混合和边缘服务，以解锁云的优势，同时满足数据主权需求。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")