企业设置自己的服务器需要大量的前期投资和持续维护,这就是为什么当今大多数科技公司都使用IaaS提供商来满足他们的计算需求。AWS、谷歌云和微软Azure等云计算提供商负责基础设施的运行和安全,例如配置新服务器并为用户保持最新状态。他们提供的服务可以解放用户的开发团队,专注于为他们的应用程序构建有价值的新功能。本文介绍了开发人员在对应用程序进行安全性和合规性分类时需要考虑的事项。基于云计算运营的企业通常需要证明其软件是根据安全最佳实践设置的,而合规性标准和认证是了解企业安全状况和与客户建立信任的有效途径。以下讨论将重点关注使用公有云提供商为应用程序带来的合规性和安全性优势,以及企业应考虑的注意事项。云计算提供商使安全和合规性变得更容易当企业使用云计算服务时,启动虚拟机或监控其性能等过程会容易得多,因为所有硬件和功能都已提供。同样,企业可以信任他们提供的安全功能,因为大多数主要云计算提供商都投入了资源来获得和维护许多常见的安全认证,例如PCIDSS和SOC2。此外,任何云计算提供商的全球声誉都取决于他们安全记录。除了整体信任因素外,使用云计算提供商的服务还可以使企业更容易获得和维护安全认证,例如SOC2或ISO/IEC27001,因为所有这些都是面向合规性的功能。以下是云计算提供商提供的此类功能的一些示例。(1)支持合规性的内置功能云计算提供商提供许多内置功能来帮助企业遵守行业最佳实践和法规。例如,使用AWSS3存储桶,可以为服务中存储的对象(文件和文件夹)创建专门的保留策略。企业可以配置对象删除限制,以及定义过期对象。这使得更容易满足金融等领域的合规标准。云计算提供商可以使企业生活更轻松的另一个领域是维护,因为它们会自动更新操作系统和软件包。例如,使用AWSLambda,企业的代码将在一个轻量级的隔离环境中执行。AWS云平台全面承担底层主机的维护工作。这让您的技术运营团队少了一件需要担心的事情。(2)与合规监控工具集成Vanta、Drata等合规工具与主要云计算提供商的云计算服务集成,使企业能够自动监控合规标准的合规性。由于这些工具直接插入云提供商API,因此它们能够自动提取相关数据并在发生错误配置时发送警报。(3)内置审计日志和事件跟踪由于云计算提供商已经在企业账户中收集了审计日志和事件跟踪,因此某些认证审计检查变得更加容易。例如,使用GoogleCloudStorage,开箱即用的多个日志记录选项具有不同的详细信息量。在云计算服务中设置日志收集非常简单。因此,无论何时与审计员共享日志,企业都可以提取结果作为合规性证明。(4)用户管理和细粒度权限特别关注哪些用户有特权访问企业的云供应商账户,这对降低安全漏洞的可能性有很大帮助。这就是为什么许多企业遵循最小特权原则的原因。云计算提供商提供了许多选项来创建具有有限权限的用户帐户以满足此原则。例如,AzureAD(Azure的身份和访问管理服务)允许在单个云计算服务级别配置用户权限,通常甚至可以在该服务中的单个条目级别配置。主要的云计算提供商还提供了创建仅API用户的可能性,甚至可以让虚拟机在企业基础架构中承担特定的用户角色,而无需为其创建任何凭据。云计算提供商在安全性和合规性方面具有诸多优势,但也面临着一些问题和挑战。云计算供应商不仅仅??为企业解决合规问题。云计算提供商提供的云计算服务实现了许多功能,使企业更容易实现合规。但是企业和个人仍然需要确定需要使用什么来满足合规性要求。实现和保持合规性的过程需要包括获得合格的建议、实施所需的控制措施以及随着时间的推移监控控制措施。您的云计算提供商的能力只会让您更轻松地完成这些步骤。需要注意的是,在寻求SOC2等安全认证时,云计算服务客户没有专门的快速通道版本。组织仍需要提供其使用的安全实践的证据,无论是在本地还是通过云平台。组织将需要查找IaaS提供商的安全认证,请求支持文档,并将其提供给审计员。审计的每一项要求都需要通过云计算提供商或企业直接提供的证据来满足。合规成本进行合规和安全认证时的另一个考虑因素是成本。大多数企业没有意识到某些与合规性相关的服务在云中的成本有多大。AWSGuardDuty是一种流行的服务,用于收集和存储事件日志,按事件收费。如果每天将数百万个事件发送到GuardDuty,总成本会迅速增加。使用按使用付费的合规服务通常难以估计使用模式和未来成本,这增加了合规成本的复杂性。使用与GuardDuty相同的示例,如果清楚每天会产生多少事件,就很容易理解未来的成本。但事件的数量很难预测,工程团队可能需要数周时间才能对复杂的SaaS应用程序的事件做出合理的估计。鉴于潜在的无限成本影响,公共云中的合规性成为一项成本优化练习。聪明的企业花时间计算和预测成本,并估计各种安全风险的可能性和影响。例如,一家金融服务公司的数据泄露可能对其业务造成毁灭性影响,因此这些公司可能愿意接受更高的合规成本。然而,对于安全风险较低的企业,高额的合规费用可能是不合理的。值得注意的是,大多数云计算提供商都提供多种方式来实现合规性。例如,如果GuardDuty对于企业用例而言过于昂贵,则还有其他方法可以满足特定的合规性检查。例如,您可以选择让脚本每周检查所有系统,而不是主动事件监控。企业还可以为低使用率服务启用一些监控(因此不要为此付出太多),但为应用程序的高交易部分寻找其他选项。应遵循的最佳实践以下是云安全的一些最佳实践建议。(1)审批工作流审批工作流是监控项目任务并确保其按时完成、满足业务和产品要求、无差错的正式流程。具有清晰底层流程和相关审计日志的标准化审批工作流通常更容易满足合规性检查。使用云计算技术实现审批工作流有很多方便的方法,例如使用无服务器计算。(2)第三方服务验证企业除了使用云提供商提供的工具外,还可以使用第三方软件工具。其合规性监控过程应包括验证所使用的第三方服务的安全控制和合规性标准。(3)自动化虽然可以手动跟踪合规性,但这样做是不可持续的,尤其是对于拥有成千上万客户的SaaS应用程序。因此,建议使用软件工具和自动化来监控合规性,并在基础设施中的某些内容不再合规时创建警报。这使得该过程更快、更稳健。最重要的是,它还使认证目的的审核更加容易。如何开始要了解更多信息,您需要了解SaaS用户通信如何构建安全性,然后是开发人员合规性指南以及如何获得GDPR和客户通信的权利。
