企業(yè)設(shè)置自己的服務(wù)器需要大量的前期投資和持續(xù)的維護(hù)�����,這就是當(dāng)今大多數(shù)科技公司使用IaaS提供商來(lái)滿(mǎn)足他們的計(jì)算需求的原因���。像AWS、谷歌云和Microsoft Azure這樣的云計(jì)算提供商負(fù)責(zé)基礎(chǔ)設(shè)施的運(yùn)營(yíng)和安全�����,例如提供新的服務(wù)器,并為用戶(hù)保持其最新運(yùn)行狀態(tài)���,他們提供的服務(wù)使用戶(hù)的開(kāi)發(fā)團(tuán)隊(duì)能夠騰出時(shí)間�,專(zhuān)注于為其應(yīng)用程序構(gòu)建有價(jià)值的新功能�。
成都創(chuàng)新互聯(lián)是專(zhuān)業(yè)的龍州網(wǎng)站建設(shè)公司,龍州接單;提供成都做網(wǎng)站�����、網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專(zhuān)業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行龍州網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專(zhuān)業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專(zhuān)業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!
本文將介紹開(kāi)發(fā)人員在為他們的應(yīng)用程序進(jìn)行安全性和合規(guī)性分類(lèi)時(shí)需要考慮的事項(xiàng)�����。業(yè)務(wù)基于云計(jì)算的企業(yè)經(jīng)常需要證明他們的軟件是按照安全最佳實(shí)踐來(lái)設(shè)置的���,而合規(guī)標(biāo)準(zhǔn)和認(rèn)證是了解企業(yè)安全狀況和與客戶(hù)建立信任的有效方式����。
以下將重點(diǎn)討論使用公有云提供商的應(yīng)用程序在合規(guī)性和安全性方面帶來(lái)的好處�����,以及企業(yè)應(yīng)該考慮的注意事項(xiàng)�����。
云計(jì)算提供商使安全和合規(guī)性變得更容易
當(dāng)企業(yè)使用云計(jì)算服務(wù)時(shí)�,像啟動(dòng)虛擬機(jī)或監(jiān)視其性能這樣的過(guò)程會(huì)容易得多,因?yàn)樗械挠布凸δ芏家呀?jīng)提供�。同樣,企業(yè)可以信任他們提供的安全功能�,因?yàn)榇蠖鄶?shù)主流云計(jì)算提供商已經(jīng)投入了資源來(lái)獲得和維護(hù)許多常見(jiàn)的安全認(rèn)證,例如PCI DSS和SOC 2����。此外,任何一家云計(jì)算提供商的全球聲譽(yù)都取決于他們的安全記錄�����。
除了整體的信任因素之外�����,由于所有面向合規(guī)性的功能��,使用云計(jì)算提供商提供的服務(wù)使企業(yè)更容易獲得和維護(hù)安全認(rèn)證��,如SOC2或ISO/IEC27001。以下介紹云計(jì)算提供商提供的一些此類(lèi)功能的示例���。
(1)支持合規(guī)性的內(nèi)置功能
云計(jì)算提供商提供了許多內(nèi)置功能���,以幫助企業(yè)遵守行業(yè)最佳實(shí)踐和規(guī)則。例如�����,使用AWS S3存儲(chǔ)桶�����,可以為存儲(chǔ)在服務(wù)中的對(duì)象(文件和文件夾)創(chuàng)建專(zhuān)門(mén)的保留策略��。企業(yè)可以配置對(duì)象刪除的限制��,以及定義過(guò)期對(duì)象��。這使得在金融等領(lǐng)域更容易滿(mǎn)足合規(guī)性標(biāo)準(zhǔn)�。
云計(jì)算提供商可以使企業(yè)的生活更輕松的另一個(gè)領(lǐng)域是維護(hù),因?yàn)樗麄冏詣?dòng)更新操作系統(tǒng)和包�。例如使用AWS Lambda,企業(yè)的代碼將在輕量級(jí)的隔離環(huán)境中執(zhí)行�����。AWS云平臺(tái)完全承擔(dān)了底層主機(jī)的維護(hù)工作。這為企業(yè)的技術(shù)運(yùn)營(yíng)團(tuán)隊(duì)減少了一件需要擔(dān)心的事情�。
(2)與合規(guī)性監(jiān)控工具的集成
像Vanta和Drata這樣的合規(guī)工具與主要的云計(jì)算提供商的云計(jì)算服務(wù)集成�����,并允許企業(yè)自動(dòng)監(jiān)控是否符合合規(guī)標(biāo)準(zhǔn)�。因?yàn)檫@些工具可以直接插入到云提供商API中,因此它們能夠自動(dòng)提取相關(guān)數(shù)據(jù)�����,并在配置錯(cuò)誤時(shí)發(fā)送警報(bào)�����。
(3)內(nèi)置審計(jì)日志和事件跟蹤
由于云計(jì)算提供商已經(jīng)在企業(yè)的帳戶(hù)中收集了審計(jì)日志和跟蹤事件����,因此對(duì)認(rèn)證的某些審計(jì)檢查變得更容易。例如�,對(duì)于谷歌云存儲(chǔ),具有不同數(shù)量的詳細(xì)信息的多個(gè)日志記錄選項(xiàng)是開(kāi)箱即用的�。在云計(jì)算服務(wù)中設(shè)置日志集合非常簡(jiǎn)單。因此,無(wú)論何時(shí)與審計(jì)人員共享日志�����,企業(yè)都可以提取結(jié)果作為合規(guī)性的證明�����。
(4)用戶(hù)管理和細(xì)粒度權(quán)限
特別注意哪些用戶(hù)可以特權(quán)訪問(wèn)企業(yè)的云提供商帳戶(hù)����,這對(duì)于降低安全漏洞的可能性大有幫助。這就是許多企業(yè)遵循最少特權(quán)原則的原因�����。云計(jì)算提供商提供了許多選項(xiàng)來(lái)創(chuàng)建權(quán)限受限的用戶(hù)帳戶(hù)���,以滿(mǎn)足這一原則�。例如�����,Azure AD(Azure的身份和訪問(wèn)管理服務(wù))允許在單個(gè)云計(jì)算服務(wù)級(jí)別配置用戶(hù)權(quán)限����,甚至經(jīng)常在該服務(wù)中的單個(gè)條目級(jí)別配置用戶(hù)權(quán)限�。
主要的云計(jì)算提供商還提供了創(chuàng)建只使用API的用戶(hù)的可能性���,或者甚至在企業(yè)的基礎(chǔ)設(shè)施中讓虛擬機(jī)承擔(dān)特定的用戶(hù)角色�����,而不需要為它創(chuàng)建任何憑證。
云計(jì)算提供商在安全性和合規(guī)性方面有很多優(yōu)勢(shì)���,但也面臨一些問(wèn)題和挑戰(zhàn)�����。
云計(jì)算提供商不只是為企業(yè)解決合規(guī)問(wèn)題
云計(jì)算提供商提供的云計(jì)算服務(wù)實(shí)現(xiàn)了許多功能��,使企業(yè)更容易實(shí)現(xiàn)合規(guī)性�����。但企業(yè)和個(gè)人仍然需要確定需要使用什么來(lái)滿(mǎn)足合規(guī)性要求��。實(shí)現(xiàn)和保持合規(guī)性的過(guò)程需要包括獲得合格的建議����、實(shí)施所需的控制以及長(zhǎng)期的監(jiān)控控制。云計(jì)算提供商的功能只會(huì)減少完成這些步驟的難度�����。
需要注意的是���,在尋求SOC 2等安全認(rèn)證時(shí)�����,并沒(méi)有針對(duì)云計(jì)算服務(wù)客戶(hù)的特殊快速通道版本��。企業(yè)仍然需要提供其使用的安全實(shí)踐的證據(jù)�����,無(wú)論是在內(nèi)部部署還是通過(guò)云平臺(tái)�。企業(yè)將需要查找IaaS提供商的安全認(rèn)證�����,請(qǐng)求支持文檔�����,并將其提供給審核人員。審計(jì)的每一項(xiàng)要求都需要通過(guò)云計(jì)算提供商或企業(yè)直接提供的證據(jù)來(lái)滿(mǎn)足�。
合規(guī)成本
進(jìn)行合規(guī)性和安全認(rèn)證時(shí)的另一個(gè)考慮因素是成本。大多數(shù)企業(yè)沒(méi)有意識(shí)到云中一些與合規(guī)相關(guān)的服務(wù)成本會(huì)變得多么高昂����。AWS GuardDuty是一種流行的服務(wù),可用于收集和存儲(chǔ)事件日志�����,按事件定價(jià)��。如果每天有數(shù)以百萬(wàn)計(jì)的事件發(fā)送到GuardDuty�,總成本可能會(huì)迅速增加��。
增加合規(guī)成本復(fù)雜性的是����,使用模式以及未來(lái)的成本往往難以通過(guò)按使用付費(fèi)的合規(guī)服務(wù)進(jìn)行估計(jì)。使用GuardDuty的相同示例����,如果清楚每天將生成多少事件�,就很容易理解未來(lái)的成本�。但事件的數(shù)量很難預(yù)測(cè),工程團(tuán)隊(duì)可能需要數(shù)周時(shí)間才能對(duì)復(fù)雜的SaaS應(yīng)用程序的事件做出合理的估計(jì)�。
鑒于潛在的無(wú)限成本影響,公有云中的合規(guī)性成為一項(xiàng)成本優(yōu)化工作�����。明智的企業(yè)會(huì)花費(fèi)時(shí)間計(jì)算和預(yù)計(jì)成本�����,并估計(jì)各種安全風(fēng)險(xiǎn)的可能性和影響���。例如��,金融服務(wù)公司的數(shù)據(jù)泄露可能對(duì)其業(yè)務(wù)造成毀滅性影響���,因此此類(lèi)公司可能愿意接受更高的合規(guī)成本。但是�,對(duì)于安全風(fēng)險(xiǎn)較低的企業(yè)來(lái)說(shuō),高額的合規(guī)費(fèi)用可能并不合理��。
值得注意的是����,大多數(shù)云計(jì)算提供商提供了多種方式來(lái)實(shí)現(xiàn)合規(guī)性���。例如,如果GuardDuty對(duì)企業(yè)的用例來(lái)說(shuō)過(guò)于昂貴�,則可以通過(guò)其他方法來(lái)滿(mǎn)足特定的合規(guī)性檢查。例如可以選擇通過(guò)腳本每周檢查所有系統(tǒng)�����,而不是主動(dòng)事件監(jiān)控�。企業(yè)還可以為低使用率的服務(wù)啟用某些監(jiān)控(因此不會(huì)為此支付太多費(fèi)用),但為應(yīng)用程序的高事務(wù)部分尋找其他選項(xiàng)�����。
遵循的最佳實(shí)踐
以下是有關(guān)云安全性的一些最佳實(shí)踐建議��。
(1)審批工作流程
審批工作流程是一個(gè)正式的流程�,用于監(jiān)控項(xiàng)目任務(wù),并確保它們滿(mǎn)足最后期限�����、滿(mǎn)足業(yè)務(wù)和產(chǎn)品要求��,并且沒(méi)有錯(cuò)誤。具有清晰基礎(chǔ)流程和相關(guān)審計(jì)日志的標(biāo)準(zhǔn)化審批工作流程往往更容易滿(mǎn)足合規(guī)性檢查����。使用云計(jì)算技術(shù)實(shí)現(xiàn)審批工作流有很多便捷的方法,例如使用無(wú)服務(wù)器計(jì)算���。
(2)第三方服務(wù)驗(yàn)證
除了使用云提供商提供的工具之外����,企業(yè)可能還會(huì)使用第三方軟件工具����。其合規(guī)監(jiān)控流程應(yīng)包括驗(yàn)證使用的第三方服務(wù)的安全控制和合規(guī)標(biāo)準(zhǔn)。
(3)自動(dòng)化
雖然可以人工跟蹤合規(guī)性����,但這樣做是不可持續(xù)的,尤其是對(duì)于擁有數(shù)千名客戶(hù)的SaaS應(yīng)用程序來(lái)說(shuō)���。因此建議使用軟件工具和自動(dòng)化來(lái)監(jiān)控合規(guī)性����,并在基礎(chǔ)設(shè)施中的某些內(nèi)容不再合規(guī)時(shí)創(chuàng)建警報(bào)。這使得該過(guò)程更快�、更健壯。最重要的是�,出于認(rèn)證目的,它還使審核變得更容易���。
如何開(kāi)始
要了解更多信息�����,需要了解SaaS用戶(hù)通信如何構(gòu)建安全性�����,然后是開(kāi)發(fā)人員合規(guī)性指南以及如何正確獲取GDPR和客戶(hù)通信���。
網(wǎng)站題目:公有云安全性和合規(guī)性方面的考慮事項(xiàng)
標(biāo)題路徑:
http://uogjgqi.cn/article/coihshc.html
