評估云計算的公司必須考慮監(jiān)管法規(guī)給這種新型計算模式帶來的影響。要關(guān)注的一個方面就是，貴公司的任何數(shù)據(jù)是否受到美國出口管制條例的管制，包括未按要求獲得出口準(zhǔn)許，使用云服務(wù)會不會導(dǎo)致管制技術(shù)數(shù)據(jù)泄露出去。

及早考慮出口管制會給IT決策帶來什么影響很重要，因為美國的出口管制條例訂有嚴(yán)格的責(zé)任界定標(biāo)準(zhǔn)；這就意味著，無論未經(jīng)準(zhǔn)許泄露數(shù)據(jù)的行為是意外的、疏忽的還是有意的，都算違反條例。公司和個人對違反出口管制條例的行為都要負(fù)法律責(zé)任。針對違規(guī)行為的懲罰很嚴(yán)厲，每次違規(guī)需要支付25萬美元到100萬美元不等的罰金。個人有可能面臨長達(dá)20年的徒刑。

最流行的云計算方案是公共云計算。一個常見例子是基于Web的電子郵件服務(wù)，比如谷歌的Gmail。在公共云場景下，客戶一般無法控制也無法知道所提供資源的確切位置。而呈現(xiàn)在客戶面前的是一份標(biāo)準(zhǔn)的服務(wù)級別協(xié)議，基本上都是千篇一律的使用條款。要是無法根據(jù)公司的實際業(yè)務(wù)來確定具體的服務(wù)參數(shù)，公共云解決方案很可能滿足不了出口管制標(biāo)準(zhǔn)，如果說有這種需要的話。

最近，一些云服務(wù)提供商一直宣傳自己的服務(wù)符合出口管制條例。了解美國針對技術(shù)數(shù)據(jù)的基本出口管制條例，應(yīng)該有助于公司確定提供給自己的云計算服務(wù)是不是滿足其所有系統(tǒng)和應(yīng)用程序在出口管制條例方面的要求。

IT部門必須確定自己的系統(tǒng)上有沒有包含出口管制的數(shù)據(jù)，然后與法務(wù)部門共同制定一項計劃，以處理云環(huán)境內(nèi)外的這類數(shù)據(jù)。為了便于本文討論，管制技術(shù)數(shù)據(jù)是指受到《國際武器貿(mào)易條例》（ITAR）或《出口管理條例》（EAR）管制的數(shù)據(jù)。這類信息通常存在于出口管制商品或服務(wù)方面的藍(lán)圖、圖紙、模型、公式、規(guī)格、照片、方案、說明或文檔中。

要是沒有出口準(zhǔn)許證，美國公司不得將管制技術(shù)數(shù)據(jù)出口到某些外國。比如說，將附有出口管制技術(shù)數(shù)據(jù)的電子郵件發(fā)給印度的客戶就是將數(shù)據(jù)出口到印度，這可能需要出口準(zhǔn)許。

出口管制條例還規(guī)定，要是未經(jīng)出口準(zhǔn)許，就不得在美國境內(nèi)或境外將出口管制技術(shù)數(shù)據(jù)發(fā)送給某些外國。（要是有人這么做，就被認(rèn)為是數(shù)據(jù)出口到該人的國籍所在國）。這個規(guī)定常常讓許多公司覺得很驚訝。比如說，要是在美國的一名美國籍工程師把出口管制商品的設(shè)計藍(lán)圖交給同一家公司的正好是印度籍的同事，或者通過電子郵件發(fā)給這位同事，此舉就被認(rèn)為是出口到印度，可能需要出口準(zhǔn)許。

國防行業(yè)的公司也應(yīng)該認(rèn)識到這點：按照ITAR，僅僅允許外國訪問國防技術(shù)數(shù)據(jù)，不管該外國有沒有實際查看數(shù)據(jù)，都被認(rèn)為是出口行為，需要獲得準(zhǔn)許。

在公共云場景下，客戶一般無法控制也無法知道其數(shù)據(jù)的確切位置；實際上，其數(shù)據(jù)的多個副本可能存放在多個地方。向建在美國境外的數(shù)據(jù)中心提供出口管制數(shù)據(jù)會被認(rèn)為是出口到數(shù)據(jù)中心場地，這可能需要出口準(zhǔn)許。

此外，一旦公司把其數(shù)據(jù)交給服務(wù)提供商，那么這個客戶在控制誰可以訪問其數(shù)據(jù)方面能力有限。從安全的角度來看，這毫無疑問是個大問題。除了需要采取嚴(yán)格的安全控制外，擁有出口管制數(shù)據(jù)的公司還必須實施相應(yīng)措施，禁止外國訪問其出口管制數(shù)據(jù)。

不放心把數(shù)據(jù)交給公共云的公司一直在考慮私有云模式或混合云模式。前一種模式是指，云服務(wù)提供商專門為一家企業(yè)建立云；后一種模式是指，數(shù)據(jù)和應(yīng)用程序能夠在私有云和公共云之間移植（以便比較敏感的數(shù)據(jù)能夠保存在私有云環(huán)境）。

不管是什么樣的情況，只要第三方服務(wù)提供商可以訪問貴公司的出口管制數(shù)據(jù)，都會帶來這樣的風(fēng)險：數(shù)據(jù)違規(guī)泄露給該第三方，對此貴公司需要負(fù)法律責(zé)任。

為了盡量減小違規(guī)泄露出口管制數(shù)據(jù)的風(fēng)險，你應(yīng)該向云服務(wù)提供商詢問下列這些關(guān)鍵問題：

• ·云服務(wù)是如何創(chuàng)建的，以便符合美國的出口控制條例？
• ·你的數(shù)據(jù)將存放在世界上哪個地方？
• ·敏感數(shù)據(jù)是如何隔離和控制的？
• ·任何外國都可以訪問你的數(shù)據(jù)嗎？
• ·是否提供審計跟蹤記錄？

IT部門在評估云服務(wù)時弄清楚這些問題顯得很重要。

原文名：Managing Export-Controlled Data In The Cloud  作者：Marsha McIntyre

原文鏈接：http://cloud.51cto.com/art/201012/236098.htm