Commvault推出Geo Shield应对数据主权保护需求

Commvault表示，数据主权保护包含三个核心要素：数据存储位置、访问控制权以及加密密钥持有者。该公司新推出的Geo Shield产品旨在全面解决这三个问题，帮助组织应对日益严格的监管要求，确保敏感信息处于特定国家或地区的管控之下。

数据的访问隐私程度取决于是否加密、数据存储服务提供商以及存储系统所在位置。一个主权区域，无论是国家还是像欧盟这样的地区，都可能针对某些类型的数据制定数据隐私法规，例如个人身份信息、患者医疗记录和金融系统交易详情。

Commvault首席产品官Rajiv Kottomtharayil表示："Commvault Geo Shield旨在帮助客户增强韧性，配合数据合规工作，并保持对数据管理方式和位置的控制权。"

数据可以物理气隙形式存储，如离线磁带，也可以虚拟气隙形式存储，如独立的云账户。然而，美国拥有的公有云可能被要求向美国政府机构提供客户数据。

如果欧盟国家需要绝对的数据主权保护，这些数据就不应存储在美国拥有的公有云中，除非该云服务能够明确保证欧盟客户的数据永远不会以这种方式被披露。欧盟本地所有的公有存储云通常不必遵守美国政府的数据访问请求。

加密是好的，前提是加密密钥是私有的且无法被窥探者获取。硬件安全模块可以增强加密效果。

对于数据保护和网络韧性供应商来说，如果想在受数据主权访问控制的地区开展业务，认识到这些问题并支持客户满足这些要求至关重要。

Commvault的Geo Shield正是为此而生，提供四个级别的位置和主权支持：

本地超大规模云服务商区域的云SaaS

主权超大规模云服务商区域的云SaaS，如AWS欧洲主权云

合作伙伴运营的主权国家或地区云服务，配备Commvault软件和虚拟气隙

专用环境内的私有主权云

Commvault表示，Geo Shield通过保持数据、操作和加密密钥的区域内控制来实现网络韧性和主权。Geo Shield支持客户控制的加密密钥，提供自带密钥（BYOK）和自持密钥（HYOK）选项。它可以与客户或合作伙伴管理的硬件安全模块（HSM）集成。

Geo Shield还在边界内运行，包括满足"无回传"要求，由经过审查的本地合作伙伴运营。

Geo Shield特定部署模型的可用性将根据相关地区合作伙伴的实施时间表单独公布。

Cohesity在其数据保护产品中全面融入了数据主权支持，并发布博客讨论此话题。Rubrik推出了处于早期访问阶段的Security Cloud Sovereign产品，该公司表示客户可以"实现真正的数据主权，超越数据驻留。完全在您指定的边界内运行——无论是本地还是主权云——确保所有组件都在您选择的法律管辖范围内。通过明确的管辖控制消除对外国组织结构的依赖。"

Veeam也提供数据主权支持能力。Commvault在其网络恢复检查清单中将Cohesity、Rubrik和Veeam描述为"单一云小马"。

补充说明

Commvault支持众多联邦、行业和全球监管要求，包括：FedRAMP High、FIPS 140-3和GovRAMP，行业特定规定如SEC规则17a、HIPAA和PCI DSS v4.0，以及DORA和NIS2等新兴框架。该公司还支持多个全球框架，包括获得澳大利亚联邦政府的IRAP PROTECTED状态，以及迪拜电子安全中心（DESC）认证的云服务提供商（CSP）资格。

Q&A

Q1：Commvault Geo Shield的三个核心要素是什么？

A：Commvault Geo Shield针对数据主权保护的三个核心要素：数据存储位置、访问控制权以及加密密钥持有者。该产品旨在全面解决这三个问题，帮助组织应对日益严格的监管要求，确保敏感信息处于特定国家或地区的管控之下。

Q2：为什么欧盟客户不应将数据存储在美国公有云中？

A：如果欧盟国家需要绝对的数据主权保护，这些数据就不应存储在美国拥有的公有云中，因为美国拥有的公有云可能被要求向美国政府机构提供客户数据。欧盟本地所有的公有存储云通常不必遵守美国政府的数据访问请求，能提供更好的数据主权保护。

Q3：Geo Shield提供哪些级别的部署选项？

A：Geo Shield提供四个级别的位置和主权支持：本地超大规模云服务商区域的云SaaS、主权超大规模云服务商区域的云SaaS（如AWS欧洲主权云）、合作伙伴运营的主权国家或地区云服务（配备Commvault软件和虚拟气隙），以及专用环境内的私有主权云。