DORA 法规及其对企业数据存储影响的架构师指南

监管环境正在迅速发展，欧洲即将出台的《数字运营弹性法案》（DORA）就是这种动态变化的证明。我们有多个欧洲银行客户，每个客户都从略有不同的角度来解决这个问题，但有一个例外 - 几乎所有客户都使用现代对象存储作为基础层。对于负责存储和管理 DORA 规定的新数据要求的 IT 架构师，我们希望分享他们吸取的经验教训，希望其他人能够理解此法规的细微差别以及它对数据存储策略发展的意义。在这篇文章中，我们将分解 DORA 的关键元素、它对数据存储的影响，以及为什么像 MinIO 这样的现代对象存储解决方案最适合满足这些新需求。

什么是DORA？

DORA，即《数字运营弹性法案》，是欧盟委员会提出的一个强有力的监管框架。其主要目标是提高欧盟境内金融机构的数字运营弹性，确保它们能够抵御所有类型的 IT 相关中断和威胁并从中恢复。

DORA的主要组成部分包括：

• IT 风险管理：建立全面的框架来识别、减轻和管理 IT 风险。

  1 . 框架：DORA 要求实施全面且有据可查的 IT 风险管理框架。此框架应涵盖 IT 的所有方面，包括安全性、数据治理和业务连续性。

  2 . 定期评估：组织必须定期评估 IT 风险并调整其防御机制，以有效缓解这些威胁。

• IT 事件报告：标准化向当局报告重大 IT 相关事件的流程。

  1 . 机制：DORA 要求建立健全的事件报告机制。公司必须及时向有关当局报告重大的网络和 IT 相关事件。

  2 . 协调：这有助于对威胁做出及时和协调的反应，最大限度地减少其对金融市场和消费者的影响。

• 运营弹性测试：对 IT 系统进行定期测试，以确保对中断的弹性。

  1 . 测试要求：公司必须进行定期测试，以评估其系统和流程对网络攻击和其他 IT 中断的弹性。这包括漏洞评估、渗透测试和基于场景的练习。

• 第三方风险管理：管理与第三方 IT 服务提供商相关的风险。

  1 . 供应商合规性：DORA 专注于管理和监控因大量供应商关系而产生的 IT 风险。

  2 . 标准：公司必须确保其外部供应商遵守相同的 IT 风险管理标准，包括定期审计和合规性检查。

• 监督框架

• 关键第三方提供商：DORA为关键的第三方服务提供商（包括云计算服务）引入了一个监督框架。这确保了这些提供商符合严格的ICT风险管理标准，从而降低了它们对欧盟金融体系构成的系统性风险。

• 治理和 IT 风险管理：DORA 非常重视管理机构在确保数字运营弹性方面的责任。管理层必须保证充分保护，防止信息通信技术中断和网络攻击。

最后，虽然不是必需的，但DORA确实鼓励公司在受信任的社区内分享有关网络威胁和漏洞的信息。这种集体方法有助于更好地准备和应对新出现的ICT风险，并加强欧盟金融体系的整体稳定性。

对数据存储的影响

DORA 专注于 ICT 风险管理、事件报告和运营弹性测试，对数据存储基础设施提出了很高的要求。这促使许多企业架构师重新设计他们的存储解决方案，以处理增加的数据量，提供更强大的安全性，并在发生违规的情况下支持快速数据检索和恢复。我们接触的团队专注于以下领域：

• 可扩展性：能够在异构硬件和云环境（公共、私有、colo）之间无缝扩展存储容量，以满足银行不断变化的需求。
• 性能：廉价、深邃和缓慢的日子已经一去不复返了。从性能的角度来看，一切都很重要。应用程序性能、吞吐量、IOPS，特别是 DORA RTO 和 RPO。没有人喜欢等待备份。没有人可以等待恢复。这是DORA希望你测试并证明你可以在几个小时内把存钱罐重新组装起来的东西，而不是几天或几周。
• 合规性：存储解决方案必须支持符合 DORA 的报告和弹性测试要求。这包括一个可测试的框架。开放式解决方案在这方面具有巨大的优势。

安全性：高级安全性是赌注的关键。还有什么比这更进一步的？例如密钥加密服务或高可用性密钥管理服务器之类的元素，或者围绕最先进的加密方案的广泛功能，这些加密方案支持使用现代行业标准加密算法（如AES-256-GCM、ChaCha20-Poly1305和AES-CBC）进行精细的对象级加密。它还意味着对动态或静态数据进行加密。

现代对象存储解决方案的案例

传统的存储解决方案将难以满足 DORA 的严格要求。它们在几个关键领域都很薄弱。由于容量有限，需要大量的物理扩展，因此可扩展性非常困难，因此随着数据量的增长，很难有效扩展。它们很复杂 - 在传统的分层存储系统中管理和检索数据既繁琐又耗时，尤其是在数据量增加的情况下。传统的存储解决方案总体拥有成本较差，维护和运营成本较高，包括能耗和物理空间要求。最后，它们大多是由设备驱动的，这意味着它们缺乏快速适应不断变化的监管要求和技术进步所需的灵活性。这就是像 MinIO 这样的现代对象存储解决方案发挥作用的地方。建筑师的原因是显而易见的。

1 . 软件定义的灵活性

软件定义的存储解决方案使企业可以自由地在自己的数据中心或托管设施中的自己的硬件上进行部署。这种灵活性确保了组织可以定制其存储基础架构以满足特定需求，而无需受制于专有硬件。

2 . 性能

性能对于满足 DORA 的运营弹性和事件报告要求至关重要。MinIO 专为高性能工作负载而设计，提供快速的数据访问和检索。其高吞吐量能力确保数据可以快速被摄取、处理和分析，支持实时操作和决策。

3 . 可扩展性

随着数据量的持续增长，可扩展性是关键。MinIO 的对象存储架构可实现无缝可扩展性，使企业能够根据需要扩展其存储容量。这种可扩展性确保组织能够在不影响性能或可靠性的情况下处理不断增加的数据量。

4 . 云原生和 S3 API 兼容

MinIO 是云原生的，与 S3 API 完全兼容，使其成为希望与现有云基础设施和应用程序集成的企业的理想选择。这种兼容性确保企业可以利用 MinIO 的存储功能，同时保持与其云原生应用程序和服务的互操作性。

5 . AI 就绪存储

人工智能 （AI） 和机器学习 （ML） 正在成为金融服务不可或缺的一部分，它们提供洞察力和自动化，从而推动竞争优势。MinIO 开箱即用，支持 AI 和 ML 工作负载，提供所需的性能和可扩展性。这种准备情况确保企业可以利用 AI 的力量，而无需彻底改革其存储基础设施。想要示例，请在此处查看酷炫的搜索工具。

6 . 部署和管理简单

MinIO以其在部署、操作、升级和扩展方面的简单性而闻名。其轻巧的设计和直观的管理界面降低了通常与存储解决方案相关的复杂性。这种简单性使 IT 团队能够专注于战略计划，而不是被运营开销所困扰。

使用 MinIO 为 DORA 做准备

DORA来了。合规在六个月内开始。MinIO 在一半的时间内部署到金融机构的生产环境中（如果您想要一个精彩的故事，请联系我们，了解我们如何在一个漫长的周末从 0 个节点增加到 290 个节点）。从风险管理到事件报告，再到运营弹性测试，MinIO可以满足新法规的要求，同时为现代金融服务机构提供发展业务所需的平台。