IBM推出云工作负载主权风险追踪工具

IBM近日发布了一款专为帮助客户评估云主权风险、满足合规性要求而设计的新工具。

"主权风险档案"（Sovereignty Risk Profile）的推出，恰逢数字主权议题在全球范围内持续升温。越来越多的企业开始关注数据存储与处理的地理位置问题。根据IBM的一项调查，93%的高管认为主权问题应被纳入企业战略体系。

通过这款新工具，客户可以根据监管要求和业务需求设置相应策略，例如数据存储位置及保护方式等。这些策略可应用于特定的云工作负载、区域或区域节点。IBM云产品经理Janet Van在一篇博客中表示，该工具能够让用户"实时"追踪主权合规要求，并提供"配置状态、加密态势及环境控制方面的可视化能力"。

借助该工具，用户还可以对合规状况进行评估，判断哪些工作负载满足主权要求。

Constellation Research副总裁兼首席分析师Holger Mueller表示，追踪影响主权的各类因素对许多组织而言仍是一大挑战。"这非常困难，因为你往往无法掌握技术堆栈的细节，有时就连数据的具体位置也不完全透明。"他说道。

Forrester高级分析师Dario Maisto指出，"主权风险档案"工具"解决了与数据驻留和加密相关的许多合规要求，同时也从弹性与集中风险的角度切入主权议题"。

然而，他也指出，这款监控工具对于解决数字主权问题的能力是有限的。它虽然可以帮助组织识别和报告潜在问题，但"并不能从根本上使客户变得更主权或更不主权——它只能告诉你某个主权问题的存在"。

Maisto还表示，围绕数字主权的更宏观问题依然难以解决，原因在于目前业界尚无对该概念的统一定义，相关立法也十分有限，难以确立清晰的合规要求。

Mueller则描述了一系列与主权相关的复杂因素，涵盖数据是否在客户所在国家存储、处理和备份，以及运营数据的人员是否为本国公民等方面。他还补充道："此外还有软件供应链的主权问题——但在这一点上，所有人都面临依赖性挑战。"

更为复杂的是，尽管多家美国超大规模云服务商向欧洲客户销售带有"主权"标签的云服务，并配备了本地员工和基础设施，但由于美国《云法案》（CLOUD Act）和《外国情报监视法》（FISA）的存在，数据遭受跨司法管辖区访问的隐患依然存在，引发外界持续关切。

"主权风险档案"工具目前已集成于IBM安全与合规中心的工作负载保护模块中，是IBM Cloud针对客户主权关切推出的系列产品之一，此前IBM还发布了IBM Sovereign Core软件平台。

Q&A

Q1：IBM的主权风险档案工具主要解决什么问题？

A：IBM主权风险档案工具主要帮助企业评估云工作负载在数字主权方面的合规风险。用户可以设置与监管和业务需求相关的策略，例如数据存储位置和保护方式，并将这些策略应用到特定云工作负载或区域，实现对主权合规要求的实时追踪，同时获得配置状态、加密态势和环境控制等方面的可视化视图。

Q2：主权风险档案工具能否彻底解决企业的数字主权问题？

A：不能。Forrester分析师Dario Maisto指出，该工具只能帮助组织识别和报告潜在的主权问题，但并不能从根本上提升或改变客户的主权状态。此外，数字主权目前尚无统一定义，相关立法也不完善，因此更宏观的主权挑战仍难以通过单一工具彻底解决。

Q3：美国云服务商提供的"主权云"服务为什么仍存在争议？

A：尽管部分美国超大规模云服务商向欧洲客户提供配备本地员工和基础设施的"主权云"服务，但由于美国《云法案》（CLOUD Act）和《外国情报监视法》（FISA）的存在，外界对这些服务商是否可能在特定情况下跨司法管辖区访问数据仍存有疑虑，因此"主权云"的真实主权保障能力受到质疑。