公有云安全性和合規(guī)性方面的考慮事項

責(zé)任編輯:cres

作者:Aman Kandola

2022-07-25 14:31:58

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

企業(yè)使用基礎(chǔ)設(shè)施即服務(wù)可以更容易地實現(xiàn)和維護(hù)合規(guī)性,但有一些需要考慮的注意事項。本文介紹了開發(fā)人員在為他們的應(yīng)用程序進(jìn)行安全性和合規(guī)性分類時需要考慮的事項。

企業(yè)設(shè)置自己的服務(wù)器需要大量的前期投資和持續(xù)的維護(hù),這就是當(dāng)今大多數(shù)科技公司使用IaaS提供商來滿足他們的計算需求的原因。像AWS、谷歌云和Microsoft Azure這樣的云計算提供商負(fù)責(zé)基礎(chǔ)設(shè)施的運(yùn)營和安全,例如提供新的服務(wù)器,并為用戶保持其最新運(yùn)行狀態(tài),他們提供的服務(wù)使用戶的開發(fā)團(tuán)隊能夠騰出時間,專注于為其應(yīng)用程序構(gòu)建有價值的新功能。
 
本文將介紹開發(fā)人員在為他們的應(yīng)用程序進(jìn)行安全性和合規(guī)性分類時需要考慮的事項。業(yè)務(wù)基于云計算的企業(yè)經(jīng)常需要證明他們的軟件是按照安全最佳實踐來設(shè)置的,而合規(guī)標(biāo)準(zhǔn)和認(rèn)證是了解企業(yè)安全狀況和與客戶建立信任的有效方式。
 
以下將重點(diǎn)討論使用公有云提供商的應(yīng)用程序在合規(guī)性和安全性方面帶來的好處,以及企業(yè)應(yīng)該考慮的注意事項。
 
云計算提供商使安全和合規(guī)性變得更容易
 
當(dāng)企業(yè)使用云計算服務(wù)時,像啟動虛擬機(jī)或監(jiān)視其性能這樣的過程會容易得多,因為所有的硬件和功能都已經(jīng)提供。同樣,企業(yè)可以信任他們提供的安全功能,因為大多數(shù)主流云計算提供商已經(jīng)投入了資源來獲得和維護(hù)許多常見的安全認(rèn)證,例如PCI DSS和SOC 2。此外,任何一家云計算提供商的全球聲譽(yù)都取決于他們的安全記錄。
 
除了整體的信任因素之外,由于所有面向合規(guī)性的功能,使用云計算提供商提供的服務(wù)使企業(yè)更容易獲得和維護(hù)安全認(rèn)證,如SOC2或ISO/IEC27001。以下介紹云計算提供商提供的一些此類功能的示例。
 
(1)支持合規(guī)性的內(nèi)置功能
 
云計算提供商提供了許多內(nèi)置功能,以幫助企業(yè)遵守行業(yè)最佳實踐和規(guī)則。例如,使用AWS S3存儲桶,可以為存儲在服務(wù)中的對象(文件和文件夾)創(chuàng)建專門的保留策略。企業(yè)可以配置對象刪除的限制,以及定義過期對象。這使得在金融等領(lǐng)域更容易滿足合規(guī)性標(biāo)準(zhǔn)。
 
云計算提供商可以使企業(yè)的生活更輕松的另一個領(lǐng)域是維護(hù),因為他們自動更新操作系統(tǒng)和包。例如使用AWS Lambda,企業(yè)的代碼將在輕量級的隔離環(huán)境中執(zhí)行。AWS云平臺完全承擔(dān)了底層主機(jī)的維護(hù)工作。這為企業(yè)的技術(shù)運(yùn)營團(tuán)隊減少了一件需要擔(dān)心的事情。
 
(2)與合規(guī)性監(jiān)控工具的集成
 
像Vanta和Drata這樣的合規(guī)工具與主要的云計算提供商的云計算服務(wù)集成,并允許企業(yè)自動監(jiān)控是否符合合規(guī)標(biāo)準(zhǔn)。因為這些工具可以直接插入到云提供商API中,因此它們能夠自動提取相關(guān)數(shù)據(jù),并在配置錯誤時發(fā)送警報。
 
(3)內(nèi)置審計日志和事件跟蹤
 
由于云計算提供商已經(jīng)在企業(yè)的帳戶中收集了審計日志和跟蹤事件,因此對認(rèn)證的某些審計檢查變得更容易。例如,對于谷歌云存儲,具有不同數(shù)量的詳細(xì)信息的多個日志記錄選項是開箱即用的。在云計算服務(wù)中設(shè)置日志集合非常簡單。因此,無論何時與審計人員共享日志,企業(yè)都可以提取結(jié)果作為合規(guī)性的證明。
 
(4)用戶管理和細(xì)粒度權(quán)限
 
特別注意哪些用戶可以特權(quán)訪問企業(yè)的云提供商帳戶,這對于降低安全漏洞的可能性大有幫助。這就是許多企業(yè)遵循最少特權(quán)原則的原因。云計算提供商提供了許多選項來創(chuàng)建權(quán)限受限的用戶帳戶,以滿足這一原則。例如,Azure AD(Azure的身份和訪問管理服務(wù))允許在單個云計算服務(wù)級別配置用戶權(quán)限,甚至經(jīng)常在該服務(wù)中的單個條目級別配置用戶權(quán)限。
 
主要的云計算提供商還提供了創(chuàng)建只使用API的用戶的可能性,或者甚至在企業(yè)的基礎(chǔ)設(shè)施中讓虛擬機(jī)承擔(dān)特定的用戶角色,而不需要為它創(chuàng)建任何憑證。
 
云計算提供商在安全性和合規(guī)性方面有很多優(yōu)勢,但也面臨一些問題和挑戰(zhàn)。
 
云計算提供商不只是為企業(yè)解決合規(guī)問題
 
云計算提供商提供的云計算服務(wù)實現(xiàn)了許多功能,使企業(yè)更容易實現(xiàn)合規(guī)性。但企業(yè)和個人仍然需要確定需要使用什么來滿足合規(guī)性要求。實現(xiàn)和保持合規(guī)性的過程需要包括獲得合格的建議、實施所需的控制以及長期的監(jiān)控控制。云計算提供商的功能只會減少完成這些步驟的難度。
 
需要注意的是,在尋求SOC 2等安全認(rèn)證時,并沒有針對云計算服務(wù)客戶的特殊快速通道版本。企業(yè)仍然需要提供其使用的安全實踐的證據(jù),無論是在內(nèi)部部署還是通過云平臺。企業(yè)將需要查找IaaS提供商的安全認(rèn)證,請求支持文檔,并將其提供給審核人員。審計的每一項要求都需要通過云計算提供商或企業(yè)直接提供的證據(jù)來滿足。
 
合規(guī)成本
 
進(jìn)行合規(guī)性和安全認(rèn)證時的另一個考慮因素是成本。大多數(shù)企業(yè)沒有意識到云中一些與合規(guī)相關(guān)的服務(wù)成本會變得多么高昂。AWS GuardDuty是一種流行的服務(wù),可用于收集和存儲事件日志,按事件定價。如果每天有數(shù)以百萬計的事件發(fā)送到GuardDuty,總成本可能會迅速增加。
 
增加合規(guī)成本復(fù)雜性的是,使用模式以及未來的成本往往難以通過按使用付費(fèi)的合規(guī)服務(wù)進(jìn)行估計。使用GuardDuty的相同示例,如果清楚每天將生成多少事件,就很容易理解未來的成本。但事件的數(shù)量很難預(yù)測,工程團(tuán)隊可能需要數(shù)周時間才能對復(fù)雜的SaaS應(yīng)用程序的事件做出合理的估計。
 
鑒于潛在的無限成本影響,公有云中的合規(guī)性成為一項成本優(yōu)化工作。明智的企業(yè)會花費(fèi)時間計算和預(yù)計成本,并估計各種安全風(fēng)險的可能性和影響。例如,金融服務(wù)公司的數(shù)據(jù)泄露可能對其業(yè)務(wù)造成毀滅性影響,因此此類公司可能愿意接受更高的合規(guī)成本。但是,對于安全風(fēng)險較低的企業(yè)來說,高額的合規(guī)費(fèi)用可能并不合理。
 
值得注意的是,大多數(shù)云計算提供商提供了多種方式來實現(xiàn)合規(guī)性。例如,如果GuardDuty對企業(yè)的用例來說過于昂貴,則可以通過其他方法來滿足特定的合規(guī)性檢查。例如可以選擇通過腳本每周檢查所有系統(tǒng),而不是主動事件監(jiān)控。企業(yè)還可以為低使用率的服務(wù)啟用某些監(jiān)控(因此不會為此支付太多費(fèi)用),但為應(yīng)用程序的高事務(wù)部分尋找其他選項。
 
遵循的最佳實踐
 
以下是有關(guān)云安全性的一些最佳實踐建議。
 
(1)審批工作流程
 
審批工作流程是一個正式的流程,用于監(jiān)控項目任務(wù),并確保它們滿足最后期限、滿足業(yè)務(wù)和產(chǎn)品要求,并且沒有錯誤。具有清晰基礎(chǔ)流程和相關(guān)審計日志的標(biāo)準(zhǔn)化審批工作流程往往更容易滿足合規(guī)性檢查。使用云計算技術(shù)實現(xiàn)審批工作流有很多便捷的方法,例如使用無服務(wù)器計算。
 
(2)第三方服務(wù)驗證
 
除了使用云提供商提供的工具之外,企業(yè)可能還會使用第三方軟件工具。其合規(guī)監(jiān)控流程應(yīng)包括驗證使用的第三方服務(wù)的安全控制和合規(guī)標(biāo)準(zhǔn)。
 
(3)自動化
 
雖然可以人工跟蹤合規(guī)性,但這樣做是不可持續(xù)的,尤其是對于擁有數(shù)千名客戶的SaaS應(yīng)用程序來說。因此建議使用軟件工具和自動化來監(jiān)控合規(guī)性,并在基礎(chǔ)設(shè)施中的某些內(nèi)容不再合規(guī)時創(chuàng)建警報。這使得該過程更快、更健壯。最重要的是,出于認(rèn)證目的,它還使審核變得更容易。
 
如何開始
 
要了解更多信息,需要了解SaaS用戶通信如何構(gòu)建安全性,然后是開發(fā)人員合規(guī)性指南以及如何正確獲取GDPR和客戶通信。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號