对于任何将工作负载和应用程序迁移到云的组织来说,最重要的考虑因素之一是确保其所基于的云计算基础设施安全。对于许多组织而言,满足某些合规性标准的需要不仅是遵守行业最佳实践的问题,而且在特定情况下是法律要求的。处理敏感的个人、财务和健康数据的组织必须验证他们是否有适当的控制措施来保护这些数据,无论这些数据是驻留在他们自己的本地数据中心还是云端,以及在传输过程中。虽然在不合规的基础架构之上构建安全应用程序在技术上是可行的,但对客户而言这样做并不切实际。因此,标准合规性是云基础设施提供商及其客户的一个大问题。事实上,对于大多数组织而言,遵守安全标准是云计算供应商选择过程中的必要前提。符合标准有许多合规标准,例如支付卡行业数据安全标准(PCIDSS)、ISO/IEC27001:2013、HITRUST和SOC2。PCIDSS由支付卡行业定义,用于确保信用卡信息的安全。PCI要求采取措施,例如对持卡人数据的传输进行加密,并使用防火墙对其进行保护。无论处理的规模或数量如何,任何传输、存储、处理或接受信用卡数据的企业都必须遵守PCI标准。ISO27001是更通用的数据安全国际标准。HITRUST旨在确保组织能够按照HIPAA法规安全地处理医疗保健信息。对于所有云计算服务提供商来说,最常见的合规性标准可能是SOC2。SOC2TrustServices标准概述了一个控制要求框架,适用于在云中存储客户数据的所有组织,包括所有SaaS和IaaS公司以及使用云存储自己的客户信息的公司。客户应该期望他们的云基础设施提供商有他们的年度SOC2类型2审计报告(应该由独立的第三方审计公司准备)可供审计。SOC2Type2审核是对客户数据安全性、可用性、机密性和隐私控制的运营有效性的全面评估。他们在对云服务提供商进行风险评估时为客户提供有价值的信息。SOC2审计报告可以向客户保证,云基础架构提供商为关键业务应用程序提供了安全且符合标准的基础。除了为云基础设施提供商及其客户提供关于安全控制实施的通用语言和理解之外,标准合规性还被视为组织内部安全文化的一个指标。事实上,一些不需要遵守特定标准(如PCI)的客户可能仍然需要它(或实现它的路线图),因为它关系到基础设施提供商的运营效率。云安全方程式的另一个关键方面是理解共享责任模型。云基础设施提供商通常会明确说明他们负责整体安全框架的哪些方面以及客户必须自行管理的哪些方面。一般来说,基础设施提供商负责保护基础设施本身,包括构成托管平台的人员、硬件、软件、网络和物理设施。客户通常负责保护他们自己的环境,包括来宾操作系统、应用程序和数据。例如,基础设施提供商通常负责对托管云平台的系统和应用程序实施身份管理,而其客户将负责对其云环境中的系统和应用程序实施身份管理。对于客户来说,了解他们的责任从哪里开始和从基础设施提供商那里结束是至关重要的,以防止任何可能导致违规的漏洞。兼容的基础架构使客户可以更轻松地构建符合相同标准的安全应用程序。基础设施提供商可以通过自己遵守法规来简化合规流程,这不仅使数字世界更加安全,而且还提供了竞争优势。组织通常会花费大量时间、精力和金钱在他们自己的应用程序、网络和本地基础设施中实施标准合规性。对于从事特定行业(例如金融服务)的组织而言,维持对PCIDSS等标准合规性的负担甚至可能成为云迁移的障碍(以及性能、规模和业务敏捷性的相关优势)。通过提供标准合规性,云基础架构提供商可以降低风险并简化客户向云的迁移。
