作者|AmanKandola翻译|布加迪规划|WuMu设置自己的服务器需要大量的前期投资和持续的维护。这就是当今大多数技术公司使用基础架构即服务(IaaS)来满足其计算需求的原因。AmazonWebServices(AWS)、GoogleCloud和MicrosoftAzure等云提供商负责处理基础设施任务,例如为公司配置新机器并使它们保持最新状态,他们的服务使公司的团队能够专注于构建高效的应用软件。价值的新功能。基于云的公司通常需要确保他们的软件是根据最佳安全实践构建的。合规标准和认证是展示公司安全状况和建立客户信任的有效方式。本文重点介绍了为您的应用程序使用公共云提供商的合规性和安全性优势,以及您应该考虑的注意事项。1.云供应商让安全性和合规性不再那么繁琐当一家公司使用云供应商时,启动虚拟机或监控其性能要容易得多,因为所有硬件和功能都已经到位。同样,企业可以信任云供应商来满足公司的安全要求,因为大多数主流云供应商都投入了资源来获得和维护许多常见的安全认证,例如PCIDSS和SOC2。此外,云供应商的国际声誉取决于他们的过去安全性能。除了整体信任因素外,使用云提供商还可以使公司更容易获得和维护SOC2或ISO/IEC27001等安全认证,因为它具有所有面向合规性的功能。我们在下面的云提供商产品中描述了此类功能的一些示例。2.实现合规性的内置功能云提供商提供了许多内置功能来帮助用户遵守行业最佳实践和法规。以AWSS3为例,公司可以为服务中存储的对象(文件和文件夹)创建专门的保留策略。可以配置为对对象删除和对象的定期过期施加限制。这使得在金融等领域更容易满足合规性标准,在这些领域客户和业务数据数据不会保存太久。云提供商可以帮助公司简化生活的另一个领域是维护,因为它们会自动更新操作系统和软件包。以AWSLambda为例,公司的代码会在一个轻量级的隔离环境中执行。AWS全权负责维护底层主机,公司的技术运营团队就少了一份操心的工作。3.与合规监控工具的集成Vanta和Drata等合规工具与几家主要的云提供商集成,使公司能够自动监控是否满足合规标准。由于这些工具直接插入云提供商API,因此它们能够自动提取相关数据并在发生错误配置时发送警报。4.内置审计日志和事件跟踪一些认证审计检查变得更加容易,因为云提供商已经收集审计日志并跟踪公司账户中的事件。以GoogleCloudStorage为例,它直接提供了多种详细程度不同的日志记录选项。在云服务中创建日志收集机制很简单。因此,无论何时需要与审计员共享日志,公司都可以提取结果作为合规证明。5.用户管理和细粒度的权限。必须注意允许哪些用户获得对公司云提供商帐户的特权访问,这可以大大降低安全漏洞的可能性。这就是为什么许多公司遵循最小特权原则的原因。云提供商提供了许多选项来创建具有有限权限的用户帐户以满足此原则。例如,Azure的身份和访问管理服务AzureAD允许在单个云服务级别配置用户权限,甚至通常在该服务内的单个项目级别配置。几家主要的云提供商还提供了创建仅API用户的可能性,甚至允许公司基础架构中的虚拟机承担特定的用户角色,而无需为他们创建任何凭据。到目前为止,我们一直在谈论云提供商的安全性和合规性优势。但有几个重要方面需要注意,将在下一节中重点介绍。6.云供应商不“只是”为公司解决合规性问题云供应商实施了许多功能,使公司更容易实现合规性。但仍由公司和个人开发团队决定他们需要使用什么来满足合规性要求。实现和保持合规性的过程需要包括:获得合格的建议、实施所需的控制以及随着时间的推移监控措施。云提供商的作用只是让用户更容易完成这些步骤。请注意,在实施SOC2等安全认证时,云服务客户没有特别的捷径。公司仍然需要提供证据证明他们确实在采用安全措施——无论是在本地还是通过云提供商。公司需要检查IaaS提供商的安全认证,索取支持文档,并将其提供给审计员。每项审计要求都需要通过云提供商或公司直接提供的证据来满足。什么都不能漏网。7.合规成本实现合规和安全认证时要考虑的另一个因素是成本。大多数公司没有意识到云中某些与合规性相关的服务有多么昂贵。AWSGuardDuty是一种流行的服务,用于收集和存储事件日志,按事件数量收费。每天有数百万个事件被发送到GuardDuty,总成本会迅速增加。成本进一步复杂化,使用按使用付费的合规服务通常很难估计使用模式和未来成本。同样以GuardDuty为例,如果一家公司知道它每天会产生多少事件,就很容易理解未来的成本。但事件的数量很难预测,技术团队可能需要数周时间才能对复杂SaaS应用程序的事件做出合理的估计。由于潜在的无限成本,公共云合规性成为一项成本优化练习。精明的公司会花时间计算预计成本并估计各种安全风险的可能性和影响。例如,一家金融服务公司的数据泄露可能对其业务造成毁灭性影响,因此这些公司可能愿意接受更高的合规成本。但是,对于安全风险较低的企业来说,高额的合规费用可能并不合理。值得一提的是,大多数云提供商都提供多种方式来实现合规性。例如,如果GuardDuty对于企业用例而言过于昂贵,则还有其他方法可以满足特定的合规性检查。例如,一家公司可能会选择编写所有系统的脚本以每周检查一次,而不是实施对事件的主动监控。公司还可以为低使用率服务启用一些监控(因此他们不会为此支付太多费用),但为应用程序的高交易部分寻找其他选项。8.遵循的最佳实践以下是关于云安全方面遵循最佳实践的一些建议。(1)审批工作流审批工作流是对项目任务进行监控,确保按时完成、满足业务和产品要求、无差错的正式流程。具有清晰底层流程和相关审计日志的标准化审批工作流程往往更容易满足合规性检查。有许多方便的方法可以使用云技术实现审批工作流,例如使用无服务器计算。(2)验证第三方服务除了使用云提供商,企业还可能使用第三方软件工具。公司的合规监控流程应包括验证其使用的第三方服务的安全控制和合规标准。想看看拥有合规认证如何让客户更轻松地完成这部分工作吗?(3)自动化虽然可以手动跟踪合规性,但这样做是不可持续的,尤其是对于拥有成千上万客户的SaaS应用程序。我们建议使用软件工具和自动化来监控合规性,并在公司基础设施的某个方面不再合规时创建警报。这使得该过程更快、更稳健。对于认证来说最重要的是,这使得审核更加容易。原文链接:https://dzone.com/articles/security-and-compliance-considerations-for-the-pub-1
