評估云計(jì)算的公司必須考慮監(jiān)管法規(guī)給這種新型計(jì)算模式帶來的影響。要關(guān)注的一個(gè)方面就是，貴公司的任何數(shù)據(jù)是否受到美國出口管制條例的管制，包括未按要求獲得出口準(zhǔn)許，使用云服務(wù)會(huì)不會(huì)導(dǎo)致管制技術(shù)數(shù)據(jù)泄露出去。

及早考慮出口管制會(huì)給IT決策帶來什么影響很重要，因?yàn)槊绹某隹诠苤茥l例訂有嚴(yán)格的責(zé)任界定標(biāo)準(zhǔn)；這就意味著，無論未經(jīng)準(zhǔn)許泄露數(shù)據(jù)的行為是意外的、疏忽的還是有意的，都算違反條例。公司和個(gè)人對違反出口管制條例的行為都要負(fù)法律責(zé)任。針對違規(guī)行為的懲罰很嚴(yán)厲，每次違規(guī)需要支付25萬美元到100萬美元不等的罰金。個(gè)人有可能面臨長達(dá)20年的徒刑。

***的云計(jì)算方案是公共云計(jì)算。一個(gè)常見例子是基于Web的電子郵件服務(wù)，比如谷歌的Gmail。在公共云場景下，客戶一般無法控制也無法知道所提供資源的確切位置。而呈現(xiàn)在客戶面前的是一份標(biāo)準(zhǔn)的服務(wù)級別協(xié)議，基本上都是千篇一律的使用條款。要是無法根據(jù)公司的實(shí)際業(yè)務(wù)來確定具體的服務(wù)參數(shù)，公共云解決方案很可能滿足不了出口管制標(biāo)準(zhǔn)，如果說有這種需要的話。

最近，一些云服務(wù)提供商一直宣傳自己的服務(wù)符合出口管制條例。了解美國針對技術(shù)數(shù)據(jù)的基本出口管制條例，應(yīng)該有助于公司確定提供給自己的云計(jì)算服務(wù)是不是滿足其所有系統(tǒng)和應(yīng)用程序在出口管制條例方面的要求。

IT部門必須確定自己的系統(tǒng)上有沒有包含出口管制的數(shù)據(jù)，然后與法務(wù)部門共同制定一項(xiàng)計(jì)劃，以處理云環(huán)境內(nèi)外的這類數(shù)據(jù)。為了便于本文討論，管制技術(shù)數(shù)據(jù)是指受到《國際武器貿(mào)易條例》（ITAR）或《出口管理?xiàng)l例》（EAR）管制的數(shù)據(jù)。這類信息通常存在于出口管制商品或服務(wù)方面的藍(lán)圖、圖紙、模型、公式、規(guī)格、照片、方案、說明或文檔中。

要是沒有出口準(zhǔn)許證，美國公司不得將管制技術(shù)數(shù)據(jù)出口到某些外國。比如說，將附有出口管制技術(shù)數(shù)據(jù)的電子郵件發(fā)給印度的客戶就是將數(shù)據(jù)出口到印度，這可能需要出口準(zhǔn)許。

出口管制條例還規(guī)定，要是未經(jīng)出口準(zhǔn)許，就不得在美國境內(nèi)或境外將出口管制技術(shù)數(shù)據(jù)發(fā)送給某些外國。（要是有人這么做，就被認(rèn)為是數(shù)據(jù)出口到該人的國籍所在國）。這個(gè)規(guī)定常常讓許多公司覺得很驚訝。比如說，要是在美國的一名美國籍工程師把出口管制商品的設(shè)計(jì)藍(lán)圖交給同一家公司的正好是印度籍的同事，或者通過電子郵件發(fā)給這位同事，此舉就被認(rèn)為是出口到印度，可能需要出口準(zhǔn)許。

國防行業(yè)的公司也應(yīng)該認(rèn)識(shí)到這點(diǎn)：按照ITAR，僅僅允許外國訪問國防技術(shù)數(shù)據(jù)，不管該外國有沒有實(shí)際查看數(shù)據(jù)，都被認(rèn)為是出口行為，需要獲得準(zhǔn)許。

在公共云場景下，客戶一般無法控制也無法知道其數(shù)據(jù)的確切位置；實(shí)際上，其數(shù)據(jù)的多個(gè)副本可能存放在多個(gè)地方。向建在美國境外的數(shù)據(jù)中心提供出口管制數(shù)據(jù)會(huì)被認(rèn)為是出口到數(shù)據(jù)中心場地，這可能需要出口準(zhǔn)許。

此外，一旦公司把其數(shù)據(jù)交給服務(wù)提供商，那么這個(gè)客戶在控制誰可以訪問其數(shù)據(jù)方面能力有限。從安全的角度來看，這毫無疑問是個(gè)大問題。除了需要采取嚴(yán)格的安全控制外，擁有出口管制數(shù)據(jù)的公司還必須實(shí)施相應(yīng)措施，禁止外國訪問其出口管制數(shù)據(jù)。

不放心把數(shù)據(jù)交給公共云的公司一直在考慮私有云模式或混合云模式。前一種模式是指，云服務(wù)提供商專門為一家企業(yè)建立云；后一種模式是指，數(shù)據(jù)和應(yīng)用程序能夠在私有云和公共云之間移植（以便比較敏感的數(shù)據(jù)能夠保存在私有云環(huán)境）。

不管是什么樣的情況，只要第三方服務(wù)提供商可以訪問貴公司的出口管制數(shù)據(jù)，都會(huì)帶來這樣的風(fēng)險(xiǎn)：數(shù)據(jù)違規(guī)泄露給該第三方，對此貴公司需要負(fù)法律責(zé)任。

為了盡量減小違規(guī)泄露出口管制數(shù)據(jù)的風(fēng)險(xiǎn)，你應(yīng)該向云服務(wù)提供商詢問下列這些關(guān)鍵問題：

•云服務(wù)是如何創(chuàng)建的，以便符合美國的出口控制條例？

•你的數(shù)據(jù)將存放在世界上哪個(gè)地方？

•敏感數(shù)據(jù)是如何隔離和控制的？

•任何外國都可以訪問你的數(shù)據(jù)嗎？

•是否提供審計(jì)跟蹤記錄？

IT部門在評估云服務(wù)時(shí)弄清楚這些問題顯得很重要。

原文名：Managing Export-Controlled Data In The Cloud  作者：Marsha McIntyre

【本文乃51CTO精選譯文，轉(zhuǎn)載請標(biāo)明出處！】

【編輯推薦】

1. 明智點(diǎn) 練就一雙公共云應(yīng)用部署的火眼金睛
2. 趙文銀：云計(jì)算將扭轉(zhuǎn)ERP的應(yīng)用瓶頸
3. 名不虛傳 20個(gè)***的政府云服務(wù)提供商