SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

私有化部署和数据驻留,一个管谁碰机器,一个管数据睡哪里

私有化部署决定的是计算资源和系统的归属与隔离方式,数据驻留决定的是数据物理存储的地理位置和跨境流动限制。两者经常被塞进同一张安全问卷的同一栏里,但合规风险其实落在不同的条款上。

寓言

有个消息站盖在州境线的那一边

州府筹备一个新消息站,用来实时交换各郡的粮价信息。第一件事是决定系统部署方案:他们选了一栋专用的院落,机房上锁、网线割断外网、钥匙只给信得过的人——一套标准的私有化部署。消息站运行后,没人能远程登进去,郡里的粮商觉得安全妥帖。

过了八个月,州府接到了一封邻州的函——消息站的数据服务器被迁移到了边境以外两百里的一个托管机房。理由是新的存储中心电价低、备份链路多、抗震等级更高。消息站本身还在州府院落里,但硬盘在那个托管机房里,物理上已经出了境。

负责合规的老推官最早发现问题。他找出六份合同和三份安全问卷,发现每一份的“数据安全”栏里只写了“私有化部署”四个字,没有标明数据物理位置。审计报告翻出来,结论是一句话:系统隔离达标,数据位置未核。

数据出境两个月后,邻州发布了一条合规新政,要求所有涉及本州民生价格数据的系统,主副本必须留在本州境内。消息站刚升级的备份链路全部违规——数据每天复制一份到境外的托管机房,从合规的角度看,每一天都在产生新的违规记录。

老推官把推官和采购的人叫到一个屋里,画了一张图。图的左边标系统部署——机柜、服务器、应用层,归“私有化部署”管;图的右边标数据物理位置——存储磁盘、备份副本、日志归档,归“数据驻留”管。他把笔搁下:你们以前以为是一件事,其实它们互相盯着彼此的钱包。

更棘手的问题出现在扩容方案上。扩容需要加三台新服务器,机房有位置,但硬盘只能放在境外的存储中心。老推官说,你不能因为一个维度的方案通过了,就自动假设另一个维度也达标——每改一次配置,两个维度都要分别签字。

整改花了一个季度和额外一批预算。他们把主副本搬回州内,保留境外机房只做只读的非敏感备份。老推官在最后的合规文件上只补了一行注解:本系统的私有化部署满足应用层隔离要求;本系统的数据驻留满足主副本地理限制要求。两行放在不同列里。

私有化部署

系统资源专属于特定客户,回答的是“谁的东西、谁在管”。关注计算资源的隔离和访问控制,不直接约束数据物理位置。

数据驻留

数据物理存储必须限定在某个地理区域内,回答的是“数据放在哪里”。受各国数据保护法律约束,直接决定合规边界。

故事对应

  • 院落里的消息站:私有化部署到位,物理隔离、访问控制达标
  • 硬盘迁到境外托管机房:数据驻留被突破,物理位置越过了合规边界
  • 安全问卷只写了私有化部署:两个维度被合并填写,审计发现是制度漏洞
  • 邻州合规新政触发连锁违规:数据驻留要求独立于部署方案,政策一变立刻暴露
  • 左边画部署、右边画驻留:两个维度互相盯预算和风险,但不可互相替代
  • 扩容时一个维度通过不代表另一个达标:每次架构变更需要两个维度分别审核

落到安全问卷与合规审查

填安全问卷时,把“私有化部署”和“数据驻留”分到两栏回答。私有化部署回答的是谁的系统、谁的权限、谁在运维;数据驻留回答的是数据的主副本、备份和日志在哪个法域内。客户预算紧张时最常犯的错误是用一个维度达标去说服另一个维度没问题——这在审计时属于可被质疑的控制缺失。如果供应商用一句“我们是私有化部署”来回答所有数据合规问题,要求他们按法域逐条列出存储位置。