使用公共云時，要在安全和合規(guī)方面考慮這些……

譯文
作者： 布加迪 2022-08-09 07:09:34

云計算

IaaS 本文著重介紹使用公共云提供商在應(yīng)用程序的合規(guī)和安全方面帶來的好處，以及應(yīng)該考慮的注意事項。

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站制作、成都做網(wǎng)站、邗江網(wǎng)絡(luò)推廣、微信小程序定制開發(fā)、邗江網(wǎng)絡(luò)營銷、邗江企業(yè)策劃、邗江品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎；創(chuàng)新互聯(lián)為所有大學生創(chuàng)業(yè)者提供邗江建站搭建服務(wù)，24小時服務(wù)熱線：18982081108，官方網(wǎng)址：www.cdcxhl.com

?作者 | Aman Kandola

譯者 | 布加迪

策劃 | 武穆

搭建自己的服務(wù)器需要大量的前期投入和日常維護。這就是為什么如今大多數(shù)技術(shù)公司使用基礎(chǔ)設(shè)施即服務(wù)（IaaS）來滿足自己對計算的需求。亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）、谷歌云和微軟Azure等云提供商負責處理基礎(chǔ)設(shè)施任務(wù)，比如為公司配置新機器并使其保持最新狀態(tài)，它們的服務(wù)讓公司的團隊可以專注于為應(yīng)用程序構(gòu)建有價值的新功能。

基于云的公司經(jīng)常需要確保自己的軟件在構(gòu)建時已采用了保證安全的最佳實踐。合規(guī)標準和認證是表明公司的安全狀況并與客戶建立信任關(guān)系的一種有效方式。

本文著重介紹使用公共云提供商在應(yīng)用程序的合規(guī)和安全方面帶來的好處，以及應(yīng)該考慮的注意事項。

1.云提供商使安全和合規(guī)變得不那么費力

當公司使用云提供商的服務(wù)時，啟動虛擬機或監(jiān)控其性能等工作會容易得多，因為對方已將所有硬件和功能落實到位。同樣，公司可以相信云提供商能滿足公司的安全要求，因為大多數(shù)主流云提供商已經(jīng)投入資源來獲得和維護許多常見的安全認證，比如PCI DSS和SOC 2。

此外，云提供商的國際聲譽取決于它們以往在安全方面的表現(xiàn)。

除了整體信任因素外，由于所有面向合規(guī)的功能，使用云提供商可以讓公司更容易獲得和維護SOC 2或ISO/IEC 27001等安全認證。我們在下面云提供商的產(chǎn)品中介紹了一些此類功能的例子。

2.實現(xiàn)合規(guī)的內(nèi)置功能

云提供商提供許多內(nèi)置功能，幫助用戶遵守行業(yè)最佳實踐和法規(guī)。以AWS S3為例，公司可以為存儲在服務(wù)中的對象（文件和文件夾）創(chuàng)建專門的保留策略?？梢赃M行配置，對對象刪除以及對象定期失效實行限制。這樣一來，比較容易在金融等領(lǐng)域滿足合規(guī)標準，這類領(lǐng)域要求客戶和業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)不能保留太久。

云提供商可以幫助公司簡化工作的另一個方面是維護，因為它們會自動更新操作系統(tǒng)和軟件包。以AWS Lambda為例，公司的代碼將在輕量級隔離環(huán)境中執(zhí)行。AWS完全承擔維護底層主機的工作，那樣公司的技術(shù)運營團隊可以少擔心一項工作。

3.與合規(guī)監(jiān)控工具集成

Vanta和Drata等合規(guī)工具與幾大云提供商集成，允許公司自動監(jiān)控是否滿足合規(guī)標準。由于這些工具可以直接插入到云提供商API，因此它們能夠自動提取相關(guān)數(shù)據(jù)，并在配置有誤時發(fā)送警報。

4.內(nèi)置審計日志和事件跟蹤

由于云提供商已經(jīng)在公司的賬戶中收集審計日志并跟蹤事件，因此一些認證審計檢查變得更容易。以谷歌云存儲（Google Cloud Storage）為例，它直接提供了詳細程度不一的多個日志記錄選項。在云服務(wù)中創(chuàng)建日志收集機制很簡單。因此，每當需要與審計員共享日志時，公司都可以提取結(jié)果作為合規(guī)證明。

5.用戶管理和細粒度權(quán)限

允許哪些用戶獲得公司云提供商賬戶的特權(quán)訪問須格外小心，這對于降低安全漏洞的可能性大有幫助。這就是為什么許多公司遵循最小特權(quán)原則。云提供商提供了許多選項來創(chuàng)建權(quán)限受限制的用戶賬戶，以滿足這個原則。

比如，Azure的身份和訪問管理服務(wù)Azure AD允許在單個云服務(wù)級別配置用戶權(quán)限，甚至經(jīng)常在該服務(wù)中的單個項目級別配置用戶權(quán)限。

幾大云提供商還提供了這種可能性：創(chuàng)建純API用戶，甚至可以讓公司的基礎(chǔ)設(shè)施中的虛擬機承擔特定的用戶角色，無需為其創(chuàng)建任何憑證。

到目前為止，我們一直在談?wù)撛铺峁┥淘诎踩秃弦?guī)方面的優(yōu)勢。但是有幾個重要的方面要注意，下一節(jié)將會重點介紹。

6.云提供商不“僅僅”為公司解決合規(guī)問題

云提供商實施了許多功能，使公司更容易實現(xiàn)合規(guī)。但仍然需要公司和各開發(fā)團隊確定自己需要使用什么來滿足合規(guī)要求。實現(xiàn)和保持合規(guī)的過程需要包括：獲得合格的建議、實施所需的控制措施以及長期監(jiān)控措施。云提供商的功能只是讓用戶完成這些步驟變得不那么費力。

請注意，說到實現(xiàn)SOC2等安全認證，云服務(wù)客戶沒有特別的捷徑而言。公司仍然需要提供證據(jù)，以表明自己確實在采用安全實踐——無論在內(nèi)部還是通過云提供商。公司需要核查IaaS提供商的安全認證，請求支持性文檔，并提供給審計人員。每一項審計要求都需要通過云提供商提供的證據(jù)或公司直接提供的證據(jù)來予以滿足。不能有任何漏網(wǎng)之魚。

7.合規(guī)成本 

實現(xiàn)合規(guī)和安全認證時要考慮的另一個因素是成本。大多數(shù)公司沒有意識到在云端，一些與合規(guī)相關(guān)的服務(wù)有多貴。AWS GuardDuty是一種流行的服務(wù)，可用于收集和存儲事件日志，按事件數(shù)量定價。如果每天向GuardDuty發(fā)送數(shù)百萬個事件，總成本會迅速增加。

讓成本變得更復(fù)雜性的是，采用按使用付費的合規(guī)服務(wù)通常難以估計使用模式以及未來的成本。同樣以GuardDuty為例，如果公司清楚每天將生成多少事件，很容易了解未來的成本。但事件的數(shù)量很難預(yù)測，技術(shù)團隊可能需要數(shù)周時間才能對復(fù)雜SaaS應(yīng)用程序的事件做出合理的估計。

鑒于成本可能沒有上限，公共云的合規(guī)成了一項成本優(yōu)化工作。精明的公司會花時間來計算預(yù)計成本，并估計各種安全風險的可能性和影響。比如，金融服務(wù)公司的數(shù)據(jù)泄露可能對其業(yè)務(wù)造成毀滅性影響，因此這類公司可能愿意接受更高的合規(guī)成本。不過，對于安全風險較低的企業(yè)來說，高昂的合規(guī)費用可能不合理。

值得一提的是，大多數(shù)云提供商提供了多種方式來實現(xiàn)合規(guī)。比如，如果GuardDuty對企業(yè)的使用場景來說過于昂貴，可以通過其他途徑來滿足特定的合規(guī)檢查。比如，公司可以選擇通過腳本每周檢查所有系統(tǒng)，而不是實行事件主動監(jiān)控。公司還可以為低使用率的服務(wù)啟用某些監(jiān)控（因此不會為此支付太高的費用），但為應(yīng)用程序的高事務(wù)部分尋找其他選項。

8.應(yīng)遵循的最佳實踐

以下是確保云安全方面遵循最佳實踐的幾個建議。

（1）審批工作流程

審批工作流是一個正式的流程，用于監(jiān)控項目任務(wù)，并確保它們在最后期限內(nèi)完成、滿足業(yè)務(wù)和產(chǎn)品要求，并且沒有錯誤。具有清晰底層流程和相關(guān)審計日志的標準化審批工作流往往更容易滿足合規(guī)檢查。使用云技術(shù)實施審批工作流有很多便捷的方法，比如使用無服務(wù)器計算。

（2）驗證第三方服務(wù)

除了使用云提供商外，公司可能還會使用第三方軟件工具。公司的合規(guī)監(jiān)控流程應(yīng)包括驗證自己使用的第三方服務(wù)的安全控制措施和合規(guī)標準。想不想看看擁有合規(guī)認證如何使客戶更容易完成這部分工作？

（3）自動化

雖然可以手動跟蹤合規(guī)，但這么做不具有可持續(xù)性，尤其是對于擁有數(shù)千名客戶的SaaS應(yīng)用程序而言。我們建議使用軟件工具和自動化來監(jiān)控合規(guī)，并在公司基礎(chǔ)設(shè)施的某個方面不再合規(guī)時創(chuàng)建警報。這使得該過程更快速、更穩(wěn)健。對認證而言最重要的是這使審計變得更容易。

文章標題：使用公共云時，要在安全和合規(guī)方面考慮這些……
本文URL：http://m.5511xx.com/article/cdehjdc.html