我很难寻找物联网的参考架构,该架构指定了达到 PII 保护法规合规性(例如 GDPR)的方法。有很多文章都有这样或这样的一般性建议,但我真正想要的是一个特定的架构设计。
比如说,以 Google Cloud Platform 为例,有以下参考架构(链接):
它没有说明 PII 保护的任何内容,但我可以考虑实施或采用 COTS 令牌化服务(安全网关),然后应部署到边缘(位于同一国家/地区,根据监管规则必须存储个人信息)。
- 这是否意味着物联网总是必须包含一些本地边缘(为我的所有设备和集线器/网关扮演一个单一的入口点角色)并安装了这样的令牌化服务(当然,对于那些受监管的国家),如果我只想在公共云上拥有一个存储层?
- 如果我需要存储从智能家居收集的所有遥测数据,并且有一个摄像头可以捕捉到我家门口的人,或者甚至是一个麦克风,它意外捕捉到了我朋友的话,例如“我是 John Doe,我的社会保障号码是 ,并且我不会在我的房子里,它位于 GPS 位置的未来 2 天”,我的系统需要将它们存储为麦克风的状态吗?这是否意味着在“GDPR”位置我需要使用本地存储而不是云存储,以完全符合要求,以防万一?
- 这是否意味着如果我需要设计一个智能家居的多租户跨国业务,包括受 PII 保护监管的国家,我必须始终考虑数据存储(本地 + 云)的混合解决方案以减轻上一项中描述的风险?