合規(guī)性需求因云類型的不同而各異

責任編輯:editor03

2014-06-17 14:33:39

摘自:中研網(wǎng)

如果公司的應用程序位于內(nèi)部服務器,那么,公司只負責滿足法規(guī)遵從需求。公司的業(yè)務將應用程序和數(shù)據(jù)移動到云,但是,這并沒有改變所有的合規(guī)性責任。

如果公司的應用程序位于內(nèi)部服務器,那么,公司只負責滿足法規(guī)遵從需求。公司的業(yè)務將應用程序和數(shù)據(jù)移動到云,但是,這并沒有改變所有的合規(guī)性責任。合規(guī)性責任不能回避,這就是為什么必須要對云提供商和應用程序所有者的法規(guī)遵從需求有全面的了解。

公司可以利用外部部署的IT功能,滿足法規(guī)遵從需求,而且可以省去很多麻煩。然而,只有當公司盡職調(diào)查,對所有云服務提供商(CSP)進行審查,然后做出明智選擇時,才會產(chǎn)生合規(guī)性的問題。如果不進行調(diào)查,符合合規(guī)性的責任簡直是一場噩夢。公司不采用公共云的一個主要原因是還要應對法規(guī)遵從問題。

將法規(guī)遵從的責任進行分解

所有的合規(guī)性標準,包括巨大的安全需求、信息機密性、完整性、可用性、身份驗證、審計和日志記錄和變更管理。針對法規(guī)而言,如2002年的薩班斯-奧克斯利法案(SOX), 2004年的支付卡行業(yè)(PCI),以及聯(lián)邦風險和授權(quán)管理程序(FedRAMP)。

云的法規(guī)遵從,可以分解為幾個關(guān)鍵領(lǐng)域,包括數(shù)據(jù)隱私、信息安全、各種政府的法規(guī),特定行業(yè)的法規(guī)(HIPAA、PCI等)等等。對于法規(guī)而言,一些法規(guī)要求很重要,但在某些方面,對許多已經(jīng)制定的合規(guī)性法規(guī)標準來說,采取必要的行動是共同的。

合規(guī)性被視為云廣泛采用的一大障礙,確實如此。

保密性:信息必須保密,防止未經(jīng)授權(quán)的用戶訪問信息。

完整性:記錄禁止被未經(jīng)授權(quán)的個人或?qū)嶓w修改。

可用性:系統(tǒng)需要設計,從而能夠妥善處理錯誤,抵抗拒絕服務攻擊。

驗證:信息只提供給經(jīng)過授權(quán)的個人,抵抗拒絕服務攻擊。

審計和日志:軟件系統(tǒng)必須生成所有必要的日志信息,構(gòu)建一個清晰的審查跟蹤,能夠顯示用戶或?qū)嶓w是如何訪問并使用資源的。

變更管理:變更管理在合規(guī)性中起著重要的作用,從審計的角度和操作上,再到能確保所有的變更滿足政策和相關(guān)法規(guī)的規(guī)定。

合規(guī)性需求因云類型的不同而各異

法規(guī)遵從產(chǎn)生的影響,外部部署云計算責任的分擔,主要受控于云中信息的類型和選擇的服務模型類型 (公眾IaaS、公共PaaS,或者公共SaaS)。當我們專注于IT組織移動到公共IaaS時,應當關(guān)注云服務提供商與關(guān)于云服務模型公司之間的合規(guī)性責任(CSP)。當客戶從SaaS移動到IaaS服務模型時,云服務模型責任的水平通常轉(zhuǎn)向客戶。

1、公共基礎設施即服務

公司控制數(shù)據(jù)和應用程序

公司共享控制虛擬服務器

CSP控制物理服務器、存儲和網(wǎng)絡

2、公共平臺即服務

公司控制數(shù)據(jù)

公司共享控制應用程序和虛擬服務器

CSP控制物理服務器、存儲和網(wǎng)絡

3、公共軟件即服務

公司共享控制數(shù)據(jù)

CSP控制應用程序,虛擬服務器,物理服務器,存儲和網(wǎng)絡

清楚地了解共享合規(guī)性的責任

關(guān)于公眾基礎設施即服務模型,CSP能夠減輕客戶的操作負擔,操作、管理和控制組件,從主機操作系統(tǒng)和虛擬化層乃至CSP設備的物理安全。公司負責數(shù)據(jù)、應用程序、解決方案堆棧、客戶操作系統(tǒng)、殺毒軟件、防火墻、數(shù)據(jù)加密、應用程序安全性、變更管理等。公司分配所需的虛擬服務器和虛擬資源。這與內(nèi)部模型非常類似,除了CSP,CSP控制著物理服務器、存儲、網(wǎng)絡、數(shù)據(jù)存儲在CSP,并且CSP控制著CSP安裝的物理安全。

如果公司正將一部分IT功能移動到CSP,那么,公司需要完全理解可見性,可見性使公司能夠觀察到直接控制之外的合規(guī)性管理責任和工作。在與CSP簽署任何類型的協(xié)議之前,公司應該檢查CSP,確保所選擇的CSP能夠滿足公司的安全性和操作的需要,如PCI DSS合規(guī)性驗證。

公司應該了解其使用 CSP的權(quán)利,從而確定CSP如何提供持續(xù)的保證,保證所需的控制已到位。組織應該使用連續(xù)監(jiān)測,從而能夠觀察到CSP提供哪些與法規(guī)和操作要求相關(guān)的服務。公司客戶的法規(guī)需求主要條款包含在合同中,很容易被忽視。因此,當與CSP進行談判時,還應該考慮這些需求。

當與CSP分擔責任時,公司必須應對以下一些問題:

安全責任的說明:公司將監(jiān)管數(shù)據(jù)遷移到公共云環(huán)境,將不得不依賴CSP的一些合規(guī)性措施。圍繞著云服務模型進行討論,展示了想象中的安全保衛(wèi)處是什么樣的。

數(shù)據(jù)需求的地址位置:一些法規(guī)規(guī)定,敏感信息可以存儲在哪里,不能存儲在哪里。美國政府機構(gòu)需要保證CSP不會在美國以外的設施內(nèi)存儲或管理信息。在其他情況下,公司可以要求將數(shù)據(jù)存儲在特定國家邊界的邊界內(nèi)。

防止內(nèi)部威脅:公司不得不防止內(nèi)部威脅,避免內(nèi)部惡意的管理員,避免未經(jīng)授權(quán)的其他虛擬服務器遷移到虛擬服務器。敏感數(shù)據(jù)不能存儲在一個未經(jīng)授權(quán)的服務器中。

安全策略的實施:公司和CSP必須親自見證安全策略的實施。

不要忽視這些方面的問題

通常,云的法規(guī)需求,你需要擔心的是:如果是在內(nèi)部,那么你必須要謹慎。但是,還有其他你必須要注意的問題,這些問題可以通過這些問題得到解決:數(shù)據(jù)存儲在哪里?我可以信任CSP使用我的數(shù)據(jù)嗎?如果我急需使用數(shù)據(jù),我可以快速得到數(shù)據(jù)嗎?

CSP同時經(jīng)過了法規(guī)認證,不會自動使公司符合法規(guī)。

合規(guī)性被視為云廣泛采用的一大障礙,而且理所當然。合規(guī)性受控于法律和立法,因此,沒有其它選擇,只能服從。一些合規(guī)性需求都在CSP的控制之下。CSP能夠幫助公司實現(xiàn)合規(guī)性需求,緩解保持合規(guī)性的過程,但是,公司必須謹慎選擇CSP。CSP如 AWS,主要提供一個平臺,支持企業(yè)應用程序,使安全與合規(guī)性成為操作的一個核心組成部分。

內(nèi)部IT組織和外部部署云環(huán)境的合規(guī)性責任,不應被視為是一次性的,而應當作為持續(xù)的管理和監(jiān)控過程。源于使整體監(jiān)管環(huán)境與流體技術(shù)環(huán)境保持平衡—即云。法規(guī)要求在緩慢地發(fā)生變化,因此,IT組織需要做好準備將環(huán)境和技術(shù)之間分離開,旨在進一步規(guī)范化。這種分開會引起監(jiān)管機構(gòu)以及法規(guī)的高度關(guān)注,從而無法應對新興的挑戰(zhàn)。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號