2018教育法律法规 [虚拟环境中的法规遵从]

　　人们通过个人计算机(包括企业分配的笔记本、办公室台式机和家用工作站)访问敏感系统的做法使企业难以有效地保护敏感数据和遵守相关法规。个人计算机离得越远，受管理程度越低，这种困难就越大。除了法规遵从和数据保护所面临的难题之外，远程访问不安全和未受监控系统上的敏感数据还会违反许多政府和行业法规。
　　从法规遵从和数据保护角度看，个人桌面计算机存在着机密数据泄漏、敏感系统监控及安全隐患。个人机密数据很容易发生泄露。这是由于通过计算机所访问的机密数据可能被存储在本地，但这些本地数据甚至计算机本身都可能被盗或遭受损坏。另外，外部存储设备可能会永久或暂时安装到计算机上，而机密数据可能会被有意或无意地转移到这些设备上，这也会导致数据泄露风险。由于个人桌面的位置和所有权原因，很难或不可能保证对桌面配置和用户对桌面的访问进行定期审查。
　　由于个人桌面位置、所有权以及用于连接个人桌面和敏感系统的网络配置的原因，很难或不可能定期或持续监控对敏感系统的访问。同时，因为个人桌面配置和网络认证机制的原因，仅仅通过验证IP地址很难或不可能识别机器。另外，在某个特定时间段将用户机器关联起来也很难或不可能实现。
　　在安全方面，将数据传输到个人计算机中，使得根据数据类型部署的数据保护措施无法发挥作用。个人系统是用户在基本工作功能之外使用的通用系统，因此，有可能在系统中引入未经测试的外部代码，并且用户权限通常也会超出必要的规定范围。此外，处于移动状态或企业物理保护之外的个人系统可能遭到盗窃、出售和破坏，
　　许多企业现在考虑使用虚拟桌面来替代物理桌面，往往是出于对财务节省方面的考虑，因为采用虚拟桌面可以节省硬件成本，减少软件许可(包括防病毒、主机防火墙解决方案等)，降低能源成本和IT管理(包括安装补丁程序、备份、角色访问等)成本。实际上，有大量的在线工具可以帮助企业确定上述做法的实际成本节省效果――其中之一便是VMware的总成本计算器(Total Cost Calculator)。
　　另外，虚拟桌面还提供了一系列帮助企业保护机密数据和更轻松遵守HIPAA(Health InsurancePortability and AccountabilityAct，健康保险流通与责任法案)和PCI(Payment Card IndustryData Security Standard，支付卡行业数据安全标准)法规的重要优势，例如：有意或无意存储在虚拟桌面中的私人数据在数据中心会受到保护。数据将保存在一个不间断被监控和保护的沙盒中，可对虚拟桌面的配置进行定期和完全监控，无需购买其他网络设备便可在虚拟网络中对虚拟桌面中的用户和应用活动进行不间断监控。
　　
　　始终严格遵从HIPAA和PCI法规的最佳实践
　　
　　如果企业希望能够完全遵从HIPAA或PCI法规，保护敏感数据，降低数据泄露的风险和成本，以下是一些新出现的，由全球领先企业实施的最佳实践，它们对现行的最佳实践(如定期扫描和审核日志采集)做了进一步的完善。比如，借助高效且具高管理性的虚拟桌面基础架构(如VMware VDI)实施虚拟桌面，并且只允许通过虚拟桌面访问敏感系统确保所有虚拟桌面都基于可靠的配置之上，并定期对虚拟桌面进行评估和安装补丁程序，确保配置始终安全可靠，在虚拟桌面环境中集成连续监控系统(如vmSight)，以监控和审核所有用户对敏感系统的访问，并验证配置是否与遵从政策相符。以及针对监控系统产生的报告建立持续的审查和审核流程，以确保法规遵从，并检测潜在的问题或违法行为。
　　
　　虚拟化为法规遵从带来的成本节省
　　
　　为了确保法规遵从，企业面临着持续的成本压力，如第三方每年的审核费用、为审核做准备以及为审核人员采集数据所需的人力成本、为应对法规遵从审核而进行报告和数据采集自动化所需的成本、纠正法规遵从问题所需的人力和系统成本和未通过审核导致的第三方重审费用除了每年的成本之外，企业还面临着违反相关法规或数据泄露带来的风险，而这些风险可能使企业支出更多成本，如因未通过审核或审核不完整导致的月度罚款、因信用卡和病历被盗引发的查找、通知和更换成本、发生数据泄露后，因诉讼导致的损害赔偿和法律费用，以及数据泄露后，客户满意度下降给业务发展带来的影响。
　　事实上，受成本困扰的企业可以利用虚拟化技术增强的可管理性和集成的监控系统，大幅降低与年度遵从审核相关的IT成本。由于减少了数据泄露风险，因而减轻数据泄露对企业盈利能力的影响。采用虚拟化技术将使企业每年为支持遵从审核所做的IT工作减少50％甚至更多，而数据泄露风险则可能降低至少25％。持续监控进一步确保了早期检测的实施，这是数据泄露相关成本降低的主要原因。具有集成监控功能的环境更有可能实施早期检测，遭受数据泄露的风险可降低至少75％。先对遵从成本和风险建模，然后计算由虚拟化和集成遵从监控功能所带来的成本节省是可能的。VmSight就提供这样的成本节省计算工具。
　　VmSight在法规遵从方面有不同的方式。例如在通信安全审核方面，它通过监控和报告安全通道的使用情况、识别活动通道并维护最新的授权连接协议和工作站清单，可确保进出涉及虚拟机的敏感系统的通信能够安全可靠地进行。通过维护通信实时审批和使用记录，该报告为管理和访问敏感数据(如受保护的信用卡和PCI)提供了便利。在访问授权审核时，通过实施管理策略来管理用户访问活动，监控和验证对所有关键系统的访问，无论是虚拟服务器还是使用虚拟桌面的系统。借助管理审查和审批功能，记录和支持访问权限与报告活动。提供政策遵从和实时异常清单，并进行验证。
　　虚拟化技术还能够在其他方面帮助企业以高效和低成本完成法规遵从，包括敏感系统访问审核、验证法规遵从程序、验证法规遵从配置以及预防恶意代码。
　　在敏感系统访问审核方面，虚拟化技术能够提供对所有访问虚拟服务器中敏感数据的个人用户的概括和详细审核，或通过虚拟桌面详细记录用户尝试连接的次数，以及在尝试访问过程中使用的桌面和应用程序，并识别哪些用户不具有预定义遵从政策授予的访问权限。借助政策违反报告满足相关监控法规的要求，
　　而验证法规遵从程序能够验证是否对所有保存敏感数据的虚拟机和用于访问所有敏感服务器的虚拟桌面进行了定期自动法规遵从检查、补丁程序更新等工作，并识别未及时进行法规遵从程序更新的虚拟机。虚拟化技术对恶意代码的预防，是通过监控和记录虚拟机上的应用程序活动，进出敏感服务器和用于访问敏感服务器桌面上的应用程序的活动，来自特殊、未知应用程序或者已知恶意应用程序的活动，来显示可能已遭受外部恶意代码破坏的主机。
　　对于许多企业而言，HIPAA和PCI法规遵从不再是无足轻重的事情，但法规遵从以及遵从验证并非轻易之举。尤其是计算环境分布太广，且不能对所有计算机进行集中管理时，难度就更大。
　　包括虚拟桌面在内的虚拟化技术不仅为用户提供了本地访问和全套功能，还提供了更好的集中计算、管理和监控方法。正在寻求更有效的HIPAA和PCI法规遵从方法的企业可以选择虚拟桌面，通过它来访问敏感系统，这不仅可以节约成本，而且可以提高可管理性和安全性，借助集成的法规遵从监控和报告系统，虚拟桌面可以用来增强法规遵从性，降低数据泄露的风险，同时还能够降低IT成本。