欢迎您注册蒲公英
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
各位老师,大家好
从2020年新的一年开始,我(Paul YU)会陆续将之前工作中关于云、法规及计算机化系统验证(CSV)的一些思考整理出来,陆续发布在这个平台。 抛砖引玉,希望能够对大家有所帮助,我们一起探讨
谢谢大家的支持和帮助
目录
IT变革,从自运营到云外包关键词:自运营服务器,虚拟化技术,私有云,公有云,混合云。IaaS,PaaS,SaaS。优点(财务,可用性,扩展性) 随着IT技术的发展和进步,IT服务模式也从企业自己拥有和运维的传统企业IT服务,转变为企业基于虚拟化技术建立的私有云模式。随着云技术的快速发展,企业也将部分业务从私有云部署到公有云上,形成混合云运营模式,或者将全部业务部署到公有云。 这种IT服务模式的变化大大降低了企业对于IT基础设备的拥有成本(TCO)和运行成本,提高投资回报率(ROI)。使企业能够更加专注于其核心业务,而不需要在其组织架构中分散部分资源用于计算架构及资源的维护。 云技术的应用也极大地提高了企业服务的可扩展性和柔性。云供应商提供技术保障,能够达到24/7/365及99.99%的可靠性,提升了企业IT服务的质量,保障了企业的正常运行。 云技术的大量使用,也使得企业员工在任何地点、任何时间、任何设备在安全的链接中对企业内部应用和数据进行访问的需求成为可能。满足移动办公和企业间合作的需求。 什么是“云”云,或者称云计算,被定义为,可以按需提供的基于internet的计算资源、存储资源、数据库、应用程序以及其他的IT资源,采用按需支付定价模式[1]。 “Cloudcomputing is the on-demand delivery of compute power, database storage,applications, and other IT resources through a cloud services platform via theinternet with pay-as-you-go pricing. - Amazon” 根据承载服务的IT基础设施归属,可分为私有云、公有云和混合云。 私有云(Private Clouds),是为一个客户单独使用而构建的,因而提供对数据、安全性和服务质量的最有效控制。该公司拥有基础设施,并可以控制在此基础设施上部署应用程序的方式。私有云可部署在企业数据中心的防火墙内,也可以将它们部署在一个安全的主机托管场所,私有云的核心属性是专有资源。 公有云(Public Clouds),通常指第三方提供商为用户提供的能够使用的云,公有云一般可通过Internet 使用,可能是免费或成本低廉的,公有云的核心属性是共享资源服务。 混合云(Hybrid Clouds),融合了公有云和私有云,是近年来云计算的主要模式和发展方向。私有云主要是面向企业用户,出于安全考虑,企业更愿意将数据存放在私有云中,但是同时又希望可以获得公有云的计算资源,在这种情况下混合云被越来越多的采用,它将公有云和私有云进行混合和匹配,以获得最佳的效果。 云供应商以数据中心的形式集中管理IT基础架构设备,最终用户可以按照需求租用不同类型的服务内容。按照云供应商提供的服务模式,可分为基础设施即服务(Infrastructure as a Service,IaaS) ,平台即服务 (Platform as a Service,PaaS) 和软件即服务 (Software as a Service,SaaS) ,三种服务模式,可以满足多场景用户的需求。 IaaS服务模式,包含云 IT 的基本构建块,通常提供对联网功能、计算机(虚拟或专用硬件)以及数据存储空间的访问。基础设施即服务提供最高等级的灵活性和对IT 资源的管理控制,其机制与现今众多IT 部门和开发人员所熟悉的现有IT 资源最为接近。 最终用户可以选择安装所需的操作系统、数据库、安全组件及应用程序。 PaaS服务模式,平台即服务消除了组织对底层基础设施(一般是硬件和操作系统)的管理需要,让您可以将更多精力放在应用程序的部署和管理上面。这有助于提高效率,因为不用操心资源购置、容量规划、软件维护、补丁安装或任何与应用程序运行有关的不能产生价值的繁重工作。 供应商提供除基础硬件设备外,还包括操作系统、数据库、安全组件。最终用户在此基础上部署所需的应用程序即可。 SaaS服务模式,软件即服务提供一种完善的产品,其运行和管理皆由服务提供商负责。通常人们所说的软件即服务指的是终端用户应用程序。使用SaaS 产品时,服务的维护和底层基础设施的管理都不用操心,只需要考虑怎样使用SaaS 软件就可以了。SaaS的常见应用是基于Web 的电子邮件,在这种应用场景中,可以收发电子邮件而不用管理电子邮件产品的功能添加,也不需要维护电子邮件程序所运行的服务器和操作系统例如,微软公司提供的Office365服务。 由供应商提供所有的硬件及软件程序,最终用户通过供应商提供的网络地址使用其所提供的应用程序。 图1,IT服务模式 对于存储在云供应商平台的数据,由云供应商保障数据的可持续访问。数据备份、灾难恢复及业务连续性等需求,也一并由云供应商保障。 制药行业的需求,信息共享、研发生产外包合规、降低IT运营成本关键词:企业多厂区数据共享难题;CRO,CDMO的数据监管需求;有限IT资源及支持能力。多厂区,由云供应商提供不同地区的快速访问,避免了专线的租用和很高的数据延迟;CRO, CDMO,由云供应商提供访问接口,便于满足合同提供方(甲方)对于数据审计等的监管需求。 § 制药企业多以并购的方式进行生产扩大或管线扩展。2018年全年有20起生物医药企业的重磅并购案例,交易金额高达一千多亿美金。 随着并购交易的完成,收购方与被收购方要进行业务整合或重组,也包括对于数据信息的整合与共享。海量的信息将会在不同的数据中心之间被传输,更加复杂的通讯网络将被建立,已满足双方研发或生产部门对数据中心的访问需求。数据中心的资源整合将如同梦魇般持续数月,甚至数年。 在没有完成彻底的整合前,两个企业依旧保持独立的运营状态,不能够有效地共享其所有的信息资源。 为了能够加快并购完成,使整合后的研发和生产能够共享信息资源为企业更早的带了更大的利润,采用更先进的IT技术将为其提供解决之道。 § 合同研究机构(contractresearch organization,CRO)、合同生产机构(contract manufacturingorganization,CMO和合同开发和生产机构(contract development andmanufacturing organization,CDMO),作为近几年来新兴的合同定制化研究或生产形式,活跃在药物的研发和生产阶段。通过与CRO或C(D)MO机构的合作,制药企业将其部分工作外包,其研究和产能得到扩展,更加能够专注于药物的发现和营销。 一站式(One-stop)CDMO机构概念成为制药行业发展的方向,提供全方位的开发服务(例如开发,生产和分析)[2]。仅2017年,在CMO和CDMO行业的并购(M&A)交易就高达200亿美金[3]。 全球各国和行业监管机构规定,合同给方(Contractgiver)对CRO,CMO和CDMO此类外包服务机构供应商也要求其满足合规的要求。例如,FDA在其2016年发布的指南[4]、21 CFR[5][6]和ICH Q10[7]中,均要求合同给方和供应商在药物生产过程中都要严格遵守c GMP要求,并使用全面的质量系统模型以确保与CMO机构达成质量协议符合cGMP要求。供应商的最终产品、关键分析过程、包装等都有可能对产品或患者产生不良影响。合同给方的质量部门有责任对其进行审计、评估、批准和监控等一系列活动,以确保其符合达成的质量协议的有效执行。 据此,合同给方期望供应商能够提供一种满足可以随时对其生产、检测过程进行审计的方式。由于合同给方和供应商一般不会在同一地区甚至不同国家,借助通过网络的方式达到此种目的是最为便利和有效的。FDA开出的多封警告信(Warning Letter)也说明了对于外包方式审计监管是有一定困难的[8][9]。 § 制药企业对于建立和维护一套软件系统,包括从硬件采购、软件采购、IT人员的聘用和培训、硬件维护和设备更换、软件安全补丁升级、软件版本升级,设备和访问的安全管理,到对于计划外的停机、数据损坏和丢失,数据迁移等都是其运营成本的组成部分,图2。这些显性和隐形的成本贯穿于企业使用软件的整个生命周期。 因IT服务问题导致的业务停滞带来的损失更是难以估量。为了建立更加稳健,具有更高可靠性的IT服务,需要更大量的资金投入。 图2,企业自有IT成本与云计算服务成本比较[10] 对于初创企业和小型企业来说,这些支持项目的成本会严重影响其资本对于主要业务的投入。
云服务的风险,数据安全、数据所有权、数据隐私、法规遵从 安全平台
安全是云服务最首要的任务。从四方面解决对于云平台的信任。 服务供应商基本要求,SOC 1/ISAE 3402 基础结构安全性的保障 对于不同的云服务模式存在不同的责任模型。最终使用者需要根据其购买的服务模式,清楚了解责任归属的划分,确认安全责任边界。但无论何种服务模式,最终使用者始终对数据、终结点、账户和访问管理负责。 设施、场地和物理安全性 地域数据中心的选择和建设要保证数据主流、主权、符合性和恢复能力都能够得到相应的遵从。地域数据中心间通过专用高容量网络基础设施相连,具有一定容错能力,可实现高可用性、灾难恢复和备份要求。 数据中心的物理安全性,对于数据中心的访问权限请求和审批,设施周边的安全和监控,建筑物入口安防,建筑物内部身份验证和访问区域控制等都必须有严格的管理。 数据承载设备需要符合相应的法规要求,例如,NIST800-88。对于无法擦除的硬盘驱动器的销毁,需避免信息被恢复的可能。 基础结构的设计和管理应符合国际和行业的标准,例如,ISO27001、HIPAA、FedRAMP、SOC 1 和 SOC 2。 此外还符合国家/地区特定的标准,包括澳大利亚的 IRAP、英国的G-Cloud 和新加坡的MTCS等。 可用性 数据中心应备有大量电池和不间断电源(UPS),以确保在发生短期电力中断时仍然可以持续供电。应急发电机为长时间停电和计划内维护提供备用电源。 应在至少两个位置的数据中心中保持持久性。 网络体系 网络中应部署可预防分布式拒绝服务(DDoS)攻击组件及主机防火墙。 对于不同客户的数据交换和访问交换,应能够保证彼此间是隔离的。 基础结构监视 对于硬件、软件的更新和网络设备的配置设置和基线配置,应保证从开发和/或测试环境进入到生产环境前,需经过开发、测试和批准更改。 对于服务器操作系统、数据库和网络设备的系统漏洞,应有定期的扫描和评估,并进行边界渗透测试。 对于安全事件的管理,例如,对存储在其设备或设施上的客户数据未经授权的访问,或者发现未经授权访问这些设备或设施导致客户数据丢失、泄露或更改,需采取以下措施: § 立即通知客户相关安全事件。 § 立即调查安全事件,并向客户提供有关安全事件的详细信息。 § 执行合理的提示性步骤,以减轻影响并将安全事件导致的所有损害降至最低。 客户数据保护 云供应商运营和支持人员默认情况下无权访问客户数据。对于存储在其设备上的数据需要提供可靠的数据保护。 § 多客户存储在同一物理硬件上的数据隔离不能互访 § 基于角色的访问控制 § 静态加密 o 存储服务加密 o 客户端加密 o 磁盘加密 § 传输中加密 o 线路加密 o 客户端加密 § 数据冗余 § 数据完整性 云供应商应不会给予客户在其云中输入的信息声索数据所有权。 云服务模式 对于不同的云服务模式,也有不同的风险考量。 私有云,因其IT物理设备均为企业所拥有,只是通过“云”的方式交付企业内部使用部门所使用,所以其数据安全性与企业传统IT运行模式一致。数据所有者就是企业本身,不存在疑义。 图2,私有云架构拓扑图 由于受企业资源和技术限制,私有云可能不具有多站点或只有有限站点。因此,如果当一个站点意外崩溃,企业的业务也就中断停止;或,即便是具有多站点,但各站点之间数据为异步镜像,站点迁移后,企业也会因此丢失部分业务数据。 公有云,其IT物理设备为云供应商所有,企业通过租用的方式使用其提供的服务。 图3,公有云架构拓扑图 数据并不存储在企业自有的设备中,所以在企业与云供应商签订的服务条款中需要注意以下风险: 数据安全: 由于数据存储基础架构硬件是由云供应商提供,所以对于数据的安全性和私有性要求,也从原来企业内部的风控管理,提升到外部对于云供应商的要求和管理。对于数据的安全保护也需要从网络、主机、应用和数据保护等级这几方面进行考量。 云供应商可以随时访问最终用户存储在其存储中的数据,并且也存在由于法律要求云供应商配合提供最终用户数据。由于技术问题导致的第三方接口非安全访问、非授权数据访问也存在非人为因素的数据泄露风险,例如,iCloud2014年的数据泄露事件。 在遭遇对于数据进行的恶意攻击时,云供应商依赖于其分布式多站点的网络可以迅速进行数据恢复,避免数据丢失。 数据隐私: 数据存储在云端的存储中,跨越了地理和国家的界限,不同国家或地区对于数据隐私有不同的法规要求,由此也会对企业数据隐私问题带来困扰。 一些云供应商提供了虚拟私有云(VPC),允许业务将其现有的基础设施连接到一组通过VPN连接隔离的计算资源中,从而保证其数据的位置和安全性在一个已知、确定、唯一的隐私法律要求的区域内。 数据所有权: 数据作为企业知识产权,其企业应具有完全的所有权。但由于数据存储于云供应商提供的存储介质中,导致数据管理和存储者并不是所有权者,云供应商可以在未告知数据所有者的情况下对其数据进行清除。 关于数据所有者,很多云供应商服务条款(ServiceAgreement)中对于此问题的界定都是模糊的或者对此没有定义。所以企业使用自有的物理服务器所组成的私有云,要比使用由供应商所有物理服务器的公有云具有更低的数据风险。 合规要求: 对于传统的预置系统,企业可以管理器自有的系统,控制升级或更新的频率和进行外延性的周期验证。相反,云供应商所以提供系统会经常性对新功能进行更新,这些更新频率由供应商所控制。 一些云供应商也会提供符合21CFR Part 11的云系统,提供一整套系统文档,使得云架构所有的变更可以追溯,并保证所有的控制设计可以满足数据的真实性、完整性和保密性。 系统集成: 对于基于云的应用与传统应用的集成要求也是非常重要的。缺乏这种集成的能力,将会影响企业数据的完整性和一致性,以及流程。在迁移到云的计划中应该考虑这个情况。 可靠性: 企业的应用下载非常重要,必须可靠并且可以支持24/7/365运营。云供应商容易出现中断和其他技术问题,虽然供应商提供了至少99.95%的可靠性和额外的服务水平可以保证更高的可用性,但这依旧会导致业务流程暂停。 由于不同的云供应商技术水平差异,导致其提供的服务具有一定的差异。由此,存储在其提供的物理存储中的数据的安全性、可靠性存在不同的风险。 网络连接: 在需要连接到公有云的情况下,对于本地到云端的网络及网络供应商所提供的服务具有一定的要求。不同于企业自建网络,ISP为其提供企业对外的网络数据链接。因此,需要保证其数据连接的稳定性和安全性,防止数据传输中断和被截获。也需要应对单一ISP服务中断导致的数据连接长时间无法恢复,所以也要考察ISP的SLA协议。 混合云,兼顾有私有云的安全性和公有云的便利性。可以将企业关键数据存储在私有云中,利用公有云的便利和计算资源提供扩展性,也降低了企业的拥有成本和运营成本及风险。 除存在公有云所面临的风险外,混合云仍存在以下几方面的问题: 缺少数据冗余: 存储在私有云中的数据缺少跨数据中心的冗余来减缓第一数据中心宕机的影响。在遇到灾难时,混合云中存储在私用云中的数据需要能够转移到公有云中,以保证业务的连续性 数据同步: 两个云中复制控制并保持安全数据同步,以保证安全控制的有效。 法规遵从: 混合云的法规遵从更加困难,不但要保证公有云供应商和私有云符合法规,而且要证明两个云之间是协调一致的。 架构的服务水平协议(SLA): 私有云的SLA可能无法达到与公有云的一致,所以混合云的可用性和性能基本基于私有云的SLA。 接口风险: 混合云中私有云与公有云使用应用程序接口(API)进行对接。对于传统系统管理员的知识和能力范围具有一定的挑战性。这些因素也引入了新的威胁。管理员在管理上有限的经验,可能会造成一定的风险。 综上而言,私有云,其基础架构的控制权在企业自身,具有更强的安全性、所有者拥有更大的控制权及根据需要的合规性。但,对于数据存储的可靠性,因企业内部IT部门的支持能力和认知会有所不同。 公有云,虽然具有更好的灵活性,更低的时间和成本投入,有专业的人员进行运维。但,其后端基础架构的控制权仅限于云供应商。云供应商通常会决定管理策略,从而减轻云用户对其部署的影响。最终用户仅限于控制和管理他们的应用程序,数据和服务。 混合云,由于其包含私有云和公有云,在数据管理、安全管理及SLA方面具有相当的复杂性。对系统管理员有更高的技术能力和知识范围的要求。但混合云可以实现将关键数据保存在私有云中,而公有云作为备份或归档,与私有云互为容灾站点使用。 综上对比,公有云对于初创企业及一些小企业的使用来说是一个不错的选择。混合云对于有能力创建和运维私有云,但对业务数据有较高保密要求的企业有更大的吸引力。
表2,基于云架构的数据风险分析 | 风险项目 | | | | | | | | 由于ISP服务中断、物理线路中断等, 仪器控制器与云系统网络通讯中断 | 仪器控制器采集的数据无法实时上传至中心服务器,数据临时存储在缓存中,存在被人为篡改的风险 | | | | 由于网络连接质量差, 仪器控制器与云系统网络通讯不稳定,网络通讯丢包率高于供应商最低要求 | 仪器控制器采集的数据无法上传至中心服务器,数据丢失 | | | | 使用明文进行业务数据传输,数据在传输过程中被截获,篡改 | 中心服务器存储的数据为非原始数据或原始数据的真实副本 | | 使用加密方式进行数据传输(SSL),并在数据发送和接收端进行校验 | | 由于云供应商硬件损坏、病毒攻击等情况导致的数据丢失 | | | | | 数据在存储端使用明文存储,没有加密,数据被复制后可以轻易清楚内容 | | | | | 由于云供应商硬件损坏、网络中断、电力中断等情况导致的业务中断 | | | | | 云供应商提供的访问链接不安全,可以轻易连接到非授权的系统或应用中 | | | 云供应商提供的访问应均有身份识别证书或/及VPN方式 | | 云供应商提供的底层存储访问控制不安全,可以轻易连接到非授权的存储资源 | | | 云供应商提供的访问应均有身份识别证书或/及VPN方式 | | 不同地区和国家对于数据隐私的不同要求,导致数据隐私由于存储地点和业务所在国的法律有差异 | | | | | 数据存储所有者和数据所有者不一致,导致数据可能在未通知其所有者的情况下被清除 | | | 云供应商SLA中应对数据的所有权进行明确界定,,明确数据清除管理 |
| 
[复制链接]
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 增值电信业务经营许可证编号:京B2-20243455 互联网药品信息服务资格证书编号:(京)-非经营性-2024-0033
发表于 2020-1-6 22:09:59
置顶卡
变色卡