作者 | Aman Kandola
译者 | 布加迪
筹划 | 武穆
搭建自己的主机须要少量的前期投入和日常保养。这就是为什么当初大少数技术公司经常使用基础设备即服务(IaaS)来满足自己对计算的需求。亚马逊网络服务(AWS)、谷歌云和微软Azure等云提供商担任处置基础设备义务,比如为公司性能新机器并使其坚持最新形态,它们的服务让公司的团队可以专一于为运行程序构建有价值的新性能。
基于云的公司经常须要确保自己的软件在构建时已驳回了保障安保的最佳通常。合规规范和认证是标明公司的安保状况并与客户建设信赖相关的一种有效形式。
本文着重引见经常使用公共云提供商在运行程序的合规和安保方面带来的好处,以及应该思索的留意事项。
1.云提供商使安保和合规变得不那么费劲
当公司经常使用云提供商的服务时,启动虚构机或监控其性能等上班会容易得多,由于对方已将一切配件和性能落实到位。雷同,公司可以置信云提供商能满足公司的安保要求,由于大少数干流云提供商曾经投入资源来取得和保养许多经常出现的安保认证,比如PCI DSS和SOC 2。
此外,云提供商的国内声誉取决于它们以往在安保方面的体现。
除了全体信赖起因外,由于一切面向合规的性能,经常使用云提供商可以让公司更容易取得和保养SOC 2或ISO/IEC 27001等安保认证。咱们在上方云提供商的产品中引见了一些此类性能的例子。
2.成功合规的内置性能
云提供商提供许多内置性能,协助用户遵守行业最佳通常和法规。以AWS S3为例,公司可认为存储在服务中的对象(文件和文件夹)创立专门的保管战略。可以启动性能,对对象删除以及对象活期失效实行限度。这样一来,比拟容易在金融等畛域满足合规规范,这类畛域要求客户和业务数据的数据不能保管太久。
云提供商可以协助公司简化上班的另一个方面是保养,由于它们会智能降级操作系统和软件包。以AWS Lambda为例,公司的代码将在轻量级隔离环境中口头。AWS齐全承当保养底层主机的上班,那样公司的技术运营团队可以少担忧一项上班。
3.与合规监控工具集成
Vanta和Drata等合规工具与几大云提供商集成,准许公司智能监控能否满足合规规范。由于这些工具可以间接拔出到云提供商API,因此它们能够智能提取相关数据,并在性能有误时发送警报。
4.内置审计日志和事情跟踪
由于云提供商曾经在公司的账户中搜集审计日志并跟踪事情,因此一些认证审计审核变得更容易。以谷歌云存储(Google Cloud Storage)为例,它间接提供了具体水平不一的多个日志记载选项。在云服务中创立日志搜集机制很方便。因此,每当须要与审计员共享日志时,公司都可以提取结果作为合规证实。
5.用户控制和细粒度权限
准许哪些用户取得公司云提供商账户的特权访问须分内小心,这关于降落安保破绽的或者性大有协助。这就是为什么许多公司遵照最小特权准则。云提供商提供了许多选项来创立权限受限度的用户账户,以满足这个准则。
比如,Azure的身份和访问控制服务Azure AD准许在单个云服务级别性能用户权限,甚至经常在该服务中的单个名目级别性能用户权限。
几大云提供商还提供了这种或者性:创立纯API用户,甚至可以让公司的基础设备中的虚构机承当特定的用户角色,无需为其创立任何凭证。
到目前为止,咱们不时在议论云提供商在安保和合规方面的长处。然而有几个关键的方面要留意,下一节将会重点引见。
6.云提供商不“仅仅”为公司处置合规疑问
云提供商实施了许多性能,使公司更容易成功合规。但依然须要公司和各开发团队确定自己须要经常使用什么来满足合规要求。成功和坚持合规的环节须要包含:取得合格的倡导、实施所需的控制措施以及常年监控措施。云提供商的性能只是让用户成功这些步骤变得不那么费劲。
请留意,说到成功SOC2等安保认证,云服务客户没有特意的捷径而言。公司依然须要提供证据,以标明自己确真实驳回安保通常——无论在外部还是经过云提供商。公司须要核对IaaS提供商的安保认证,恳求支持性文档,并提供应审计人员。每一项审计要求都须要经过云提供商提供的证据或公司间接提供的证据来予以满足。不能有任何漏网之鱼。
7.合规老本
成功合规和安保认证时要思索的另一个起因是老本。大少数公司没无看法到在云端,一些与合规相关的服务有多贵。AWS GuardDuty是一种盛行的服务,可用于搜集和存储事情日志,按事情数量定价。假设每天向GuardDuty发送数百万个事情,总老本会迅速参与。
让老本变得更复杂性的是,驳回按经常使用付费的合规服务通常难以估量经常使用形式以及未来的老本。雷同以GuardDuty为例,假设公司分明每天将生成多少事情,很容易了解未来的老本。但事情的数量很难预测,技术团队或者须要数周期间能力对复杂SaaS运行程序的事情做出正当的估量。
鉴于老本或者没有下限,公共云的合规成了一项老本提升上班。精明的公司会花期间来计算估量老本,并估量各种安保危险的或者性和影响。比如,金融服务公司的数据暴露或者对其业务形成消灭性影响,因此这类公司或者情愿接受更高的合规老本。不过,关于安保危险较低的企业来说,高昂的合规费用或者不正当。
值得一提的是,大少数云提供商提供了多种形式来成功合规。比如,假设GuardDuty对企业的经常使用场景来说过于低廉,可以经过其余路径来满足特定的合规审核。比如,公司可以选用经过脚本每周审核一切系统,而不是实行事情被动监控。公司还可认为低经常使用率的服务启用某些监控(因此不会为此支付太高的费用),但为运行程序的高事务局部寻觅其余选项。
8.应遵照的最佳通常
以下是确保云安保方面遵照最佳通常的几个倡导。
(1)审批上班流程
审批上班流是一个正式的流程,用于监控名目义务,并确保它们在最前期限内成功、满足业务和产品要求,并且没有失误。具备明晰底层流程和相关审计日志的规范化审批上班流往往更容易满足合规审核。经常使用云技术实施审批上班流有很多方便的方法,比如经常使用无主机计算。
(2)验证第三方服务
除了经常使用云提供商外,公司或者还会经常使用第三方软件工具。公司的合规监控流程应包含验证自己经常使用的第三方服务的安保控制措施和合规规范。想不想看看领有合规认证如何使客户更容易成功这局部上班?
(3)智能化
虽然可以手动跟踪合规,但这么做不具备可继续性,尤其是关于领有数千名客户的SaaS运行程序而言。咱们倡导经常使用软件工具和智能化来监控合规,并在公司基础设备的某个方面不再合规时创立警报。这使得该环节更极速、更持重。对认证而言最关键的是这使审计变得更容易。
原文链接: