云合规性——或云安全合规性——是确保云环境的过程, 以及其中发生的操作, 坚持具体 监管标准 影响企业所在行业的. 通常有许多云遵从性标准,企业必须与之保持一致, 并且,安全合规人员有责任以符合包含在的适用指令的方式配置和使用云服务 云安全联盟云控制矩阵(CSA CCM).
据云安全联盟称, “CCM可以用作系统评估云实施的工具, 并提供了关于哪些安全控制应该由云供应链中的哪个参与者实现的指导.“因此, 这取决于公司所从事的行业, 有强大的预先存在的框架,团队可以遵循,以确保他们保持兼容,因为他们的大部分操作转移到云.
自动化云遵从性 在今天的环境中,任何可能的地方都是必要的, 尤其是在医疗等受到严格监管的行业, 金融服务, 和能源. 有价值的云遵从性工具应该能够检测偏离指定组织标准的遵从性,并快速将环境重置为整体“良好状态”.“这不仅节省了时间和金钱, 但可以降低与监管机构发生冲突的几率.
从州/地区特定的到影响多个行业的国家认可的合规标准, 有许多法律上要求的监管框架——有些是大力建议的监管框架. 让我们来看看全球商业必须遵守的一些更广为人知的标准:
这些基准是由互联网安全中心(CIS)创建的, 一个非营利组织,帮助组织改进其安全性和遵从性程序. CIS旨在创建社区开发的安全配置基线,或者 独联体基准,用于IT和安全产品. 这些基准测试涵盖了应用程序、云计算平台、操作系统等等.
欧盟 一般资料保护规例(GDPR) 要求保护欧盟公民的个人数据, 无论组织的地理位置或数据如何. 这包括定期更新的技术和组织措施,以确保安全的数量适合当前的风险水平.
联邦风险和授权管理计划(FedRAMP)是美国联邦政府的一项倡议,它提供了一种标准化的安全评估方法, 授权, 以及对云服务的持续监控. FedRAMP的目标是让公司安全地利用现代云解决方案和技术,特别是在涉及联邦信息的情况下.
这个标准来自于 美国注册会计师协会,并定义了企业应如何管理客户数据的报告指南. 这些报告可以帮助组织管理供应商供应链, 实施风险管理流程, 和更多的. 它们针对的是广泛的利益相关者,应该包含易于理解的标准化语言.
的 健康保险流通与责任法案(HIPAA) 要求处理患者医疗记录和其他受保护健康信息(PHI)的企业有效地保护这些信息免受安全破坏. HIPAA安全规则详细说明了管理, 技术, 电子PHI (ePHI)的物理控制. 由于该标准涵盖的数据的敏感性, 美国政府在2005年要求遵守安全规定. 特别值得注意的, HIPAA第二部分于2022年发布,主要保护“身份记录”, 诊断。, 预后, 或任何病人的治疗,这些治疗与任何与药物滥用教育预防有关的计划或活动的执行有关, 培训, 治疗, 康复, 或研究, 这是进行的, 监管, 或直接或间接得到美国任何部门或机构的协助.”
ISO / IEC 27001是由国际标准化组织(ISO)和国际电工委员会(IEC)联合发布的云安全合规管理标准。. ISO / IEC 27001 规定资讯安全管理系统的安全管理最佳实务及全面的安全控制措施. 它是一些组织选择实施的可选标准, 既要从它所包含的最佳实践中获益,又要向客户保证一个全面的风险管理解决方案已经到位.
把最后一点再深入一点, 对于组织来说,在要求之外采取合规计划通常是一个好主意, 制定针对其业务需求和独特环境的额外措施. 构建这些类型的自定义指导方针以覆盖到现有的法规遵从性计划是一种积极的措施,它将产生的好处不仅仅是保持对所需法规的遵从性.
过去,云计算操作还很新奇,没有人了解将这些操作调整到特定组织或保持符合当时的监管标准的复杂性,但现在情况已经发生了变化. 然而, 在迁移到云操作的诸多好处中,也有一些需要注意的复杂性.
当一个组织经历了向云操作的“巨大转变”时, 一个关键的挑战是缺乏跨环境的统一可见性. 这个问题也可以扩展到人类用户, 就追踪谁有权访问数据而言, 他们在哪里可以访问, 以及他们这样做的频率.
云泄露最常见的原因是配置错误. 高德纳甚至指出,95%的网络安全漏洞是由云配置错误造成的. 有些是由人类引起的, 其他情况的发生是因为假设平台中的默认值会捕获问题, 还有一些来自于让资源更容易获取的愿望. 组织必须实施控制措施来防止或检测和纠正这些错误,以避免数据泄露.
通常, 第三方审核员必须证明组织已经实施了控制措施,以帮助其与某些监管标准保持一致. 要求, 组织必须提供来自第三方的证明信,以验证安全云操作实践, 以及符合特定行业监管标准的认证. 认证通常有效期为几年, 而认证更多地说明了合规性的连续性和持续性.
不小心加速进入云端往往会带来复杂性,弊大于利. 云环境是非常短暂的,而遗留/本地系统则不那么短暂. 当一个组织加速进入云, 他们通常不知道该如何处理这些遗留系统, 但它们仍然需要管理. 对于DevOps团队来说,这就是事情变得棘手的地方. 使事情变得更加复杂的是豁免——从给定标准中豁免的资源或工作量. 缺乏豁免资源的机制可能导致许多误报,从而导致不必要的和代价高昂的中断.
现在让我们来看看一些最佳实践和总体良好的卫生习惯,它们可以抵消与监管标准保持一致和在云中维护合规性方面的一些更大的挑战.
加密将数据的原始格式转换为不可读的东西. 服务,如 谷歌云平台(GCP) 总是在收到客户数据后自动加密, 但是在它被写入磁盘并实际存储之前. Another example is that of credential encryption by cloud security providers; there are often several layers of decryption that must occur before those credentials can be used.
说到凭据,原则是 最低权限访问(LPA) 确保只将访问权限授予绝对需要处理云中特定任务的人员或程序. 利用LPA的解决方案通常会根据用户的角色使用自动化来收紧或放松权限.
落实 零信任 是否有一种方便的方法可以帮助保持云环境的超级安全. 每一个人, 端点, 移动设备, 服务器, 网络组件, 网络连接, 应用程序工作负载, 业务流程, 数据流本质上是不可信的. 在执行每个事务时,它们都必须连续地进行身份验证和授权, 所有的行为都必须是实时的,事后的审计.
云操作中架构良好的框架原则本质上认为,涉众应该有一种商定的方法来实现和评估最适合其业务需求和优先级的云架构. 的 AWS架构良好的框架 也许是这个原则最著名的例子, 并使客户能够识别高风险问题.