寓言
有个消息站盖在州境线的那一边
州府筹备一个新消息站,用来实时交换各郡的粮价信息。第一件事是决定系统部署方案:他们选了一栋专用的院落,机房上锁、网线割断外网、钥匙只给信得过的人——一套标准的私有化部署。消息站运行后,没人能远程登进去,郡里的粮商觉得安全妥帖。
过了八个月,州府接到了一封邻州的函——消息站的数据服务器被迁移到了边境以外两百里的一个托管机房。理由是新的存储中心电价低、备份链路多、抗震等级更高。消息站本身还在州府院落里,但硬盘在那个托管机房里,物理上已经出了境。
负责合规的老推官最早发现问题。他找出六份合同和三份安全问卷,发现每一份的“数据安全”栏里只写了“私有化部署”四个字,没有标明数据物理位置。审计报告翻出来,结论是一句话:系统隔离达标,数据位置未核。
数据出境两个月后,邻州发布了一条合规新政,要求所有涉及本州民生价格数据的系统,主副本必须留在本州境内。消息站刚升级的备份链路全部违规——数据每天复制一份到境外的托管机房,从合规的角度看,每一天都在产生新的违规记录。
老推官把推官和采购的人叫到一个屋里,画了一张图。图的左边标系统部署——机柜、服务器、应用层,归“私有化部署”管;图的右边标数据物理位置——存储磁盘、备份副本、日志归档,归“数据驻留”管。他把笔搁下:你们以前以为是一件事,其实它们互相盯着彼此的钱包。
更棘手的问题出现在扩容方案上。扩容需要加三台新服务器,机房有位置,但硬盘只能放在境外的存储中心。老推官说,你不能因为一个维度的方案通过了,就自动假设另一个维度也达标——每改一次配置,两个维度都要分别签字。
整改花了一个季度和额外一批预算。他们把主副本搬回州内,保留境外机房只做只读的非敏感备份。老推官在最后的合规文件上只补了一行注解:本系统的私有化部署满足应用层隔离要求;本系统的数据驻留满足主副本地理限制要求。两行放在不同列里。