如果公司的應(yīng)用程序位于內(nèi)部服務(wù)器,那么,公司只負(fù)責(zé)滿足法規(guī)遵從需求。公司的業(yè)務(wù)將應(yīng)用程序和數(shù)據(jù)移動到云,但是,這并沒有改變所有的合規(guī)性責(zé)任。合規(guī)性責(zé)任不能回避,這就是為什么必須要對云提供商和應(yīng)用程序所有者的法規(guī)遵從需求有全面的了解。
公司可以利用外部部署的IT功能,滿足法規(guī)遵從需求,而且可以省去很多麻煩。然而,只有當(dāng)公司盡職調(diào)查,對所有云服務(wù)提供商(CSP)進行審查,然后做出明智選擇時,才會產(chǎn)生合規(guī)性的問題。如果不進行調(diào)查,符合合規(guī)性的責(zé)任簡直是一場噩夢。公司不采用公共云的一個主要原因是還要應(yīng)對法規(guī)遵從問題。
將法規(guī)遵從的責(zé)任進行分解
所有的合規(guī)性標(biāo)準(zhǔn),包括巨大的安全需求、信息機密性、完整性、可用性、身份驗證、審計和日志記錄和變更管理。針對法規(guī)而言,如2002年的薩班斯-奧克斯利法案(SOX), 2004年的支付卡行業(yè)(PCI),以及聯(lián)邦風(fēng)險和授權(quán)管理程序(FedRAMP)。
云的法規(guī)遵從,可以分解為幾個關(guān)鍵領(lǐng)域,包括數(shù)據(jù)隱私、信息安全、各種政府的法規(guī),特定行業(yè)的法規(guī)(HIPAA、PCI等)等等。對于法規(guī)而言,一些法規(guī)要求很重要,但在某些方面,對許多已經(jīng)制定的合規(guī)性法規(guī)標(biāo)準(zhǔn)來說,采取必要的行動是共同的。
合規(guī)性被視為云廣泛采用的一大障礙,確實如此。
保密性:信息必須保密,防止未經(jīng)授權(quán)的用戶訪問信息。
完整性:記錄禁止被未經(jīng)授權(quán)的個人或?qū)嶓w修改。
可用性:系統(tǒng)需要設(shè)計,從而能夠妥善處理錯誤,抵抗拒絕服務(wù)攻擊。
驗證:信息只提供給經(jīng)過授權(quán)的個人,抵抗拒絕服務(wù)攻擊。
審計和日志:軟件系統(tǒng)必須生成所有必要的日志信息,構(gòu)建一個清晰的審查跟蹤,能夠顯示用戶或?qū)嶓w是如何訪問并使用資源的。
變更管理:變更管理在合規(guī)性中起著重要的作用,從審計的角度和操作上,再到能確保所有的變更滿足政策和相關(guān)法規(guī)的規(guī)定。
合規(guī)性需求因云類型的不同而各異
法規(guī)遵從產(chǎn)生的影響,外部部署云計算責(zé)任的分擔(dān),主要受控于云中信息的類型和選擇的服務(wù)模型類型 (公眾IaaS、公共PaaS,或者公共SaaS)。當(dāng)我們專注于IT組織移動到公共IaaS時,應(yīng)當(dāng)關(guān)注云服務(wù)提供商與關(guān)于云服務(wù)模型公司之間的合規(guī)性責(zé)任(CSP)。當(dāng)客戶從SaaS移動到IaaS服務(wù)模型時,云服務(wù)模型責(zé)任的水平通常轉(zhuǎn)向客戶。
1、公共基礎(chǔ)設(shè)施即服務(wù)
公司控制數(shù)據(jù)和應(yīng)用程序
公司共享控制虛擬服務(wù)器
CSP控制物理服務(wù)器、存儲和網(wǎng)絡(luò)
2、公共平臺即服務(wù)
公司控制數(shù)據(jù)
公司共享控制應(yīng)用程序和虛擬服務(wù)器
CSP控制物理服務(wù)器、存儲和網(wǎng)絡(luò)
3、公共軟件即服務(wù)
公司共享控制數(shù)據(jù)
CSP控制應(yīng)用程序,虛擬服務(wù)器,物理服務(wù)器,存儲和網(wǎng)絡(luò)
清楚地了解共享合規(guī)性的責(zé)任
關(guān)于公眾基礎(chǔ)設(shè)施即服務(wù)模型,CSP能夠減輕客戶的操作負(fù)擔(dān),操作、管理和控制組件,從主機操作系統(tǒng)和虛擬化層乃至CSP設(shè)備的物理安全。公司負(fù)責(zé)數(shù)據(jù)、應(yīng)用程序、解決方案堆棧、客戶操作系統(tǒng)、殺毒軟件、防火墻、數(shù)據(jù)加密、應(yīng)用程序安全性、變更管理等。公司分配所需的虛擬服務(wù)器和虛擬資源。這與內(nèi)部模型非常類似,除了CSP,CSP控制著物理服務(wù)器、存儲、網(wǎng)絡(luò)、數(shù)據(jù)存儲在CSP,并且CSP控制著CSP安裝的物理安全。
如果公司正將一部分IT功能移動到CSP,那么,公司需要完全理解可見性,可見性使公司能夠觀察到直接控制之外的合規(guī)性管理責(zé)任和工作。在與CSP簽署任何類型的協(xié)議之前,公司應(yīng)該檢查CSP,確保所選擇的CSP能夠滿足公司的安全性和操作的需要,如PCI DSS合規(guī)性驗證。
公司應(yīng)該了解其使用CSP的權(quán)利,從而確定CSP如何提供持續(xù)的保證,保證所需的控制已到位。組織應(yīng)該使用連續(xù)監(jiān)測,從而能夠觀察到CSP提供哪些與法規(guī)和操作要求相關(guān)的服務(wù)。公司客戶的法規(guī)需求主要條款包含在合同中,很容易被忽視。因此,當(dāng)與CSP進行談判時,還應(yīng)該考慮這些需求。
當(dāng)與CSP分擔(dān)責(zé)任時,公司必須應(yīng)對以下一些問題:
安全責(zé)任的說明:公司將監(jiān)管數(shù)據(jù)遷移到公共云環(huán)境,將不得不依賴CSP的一些合規(guī)性措施。圍繞著云服務(wù)模型進行討論,展示了想象中的安全保衛(wèi)處是什么樣的。
數(shù)據(jù)需求的地址位置:一些法規(guī)規(guī)定,敏感信息可以存儲在哪里,不能存儲在哪里。美國政府機構(gòu)需要保證CSP不會在美國以外的設(shè)施內(nèi)存儲或管理信息。在其他情況下,公司可以要求將數(shù)據(jù)存儲在特定國家邊界的邊界內(nèi)。
防止內(nèi)部威脅:公司不得不防止內(nèi)部威脅,避免內(nèi)部惡意的管理員,避免未經(jīng)授權(quán)的其他虛擬服務(wù)器遷移到虛擬服務(wù)器。敏感數(shù)據(jù)不能存儲在一個未經(jīng)授權(quán)的服務(wù)器中。
安全策略的實施:公司和CSP必須親自見證安全策略的實施。
不要忽視這些方面的問題
通常,云的法規(guī)需求,你需要擔(dān)心的是:如果是在內(nèi)部,那么你必須要謹(jǐn)慎。但是,還有其他你必須要注意的問題,這些問題可以通過這些問題得到解決:數(shù)據(jù)存儲在哪里?我可以信任CSP使用我的數(shù)據(jù)嗎?如果我急需使用數(shù)據(jù),我可以快速得到數(shù)據(jù)嗎?
CSP同時經(jīng)過了法規(guī)認(rèn)證,不會自動使公司符合法規(guī)。
合規(guī)性被視為云廣泛采用的一大障礙,而且理所當(dāng)然。合規(guī)性受控于法律和立法,因此,沒有其它選擇,只能服從。一些合規(guī)性需求都在CSP的控制之下。CSP能夠幫助公司實現(xiàn)合規(guī)性需求,緩解保持合規(guī)性的過程,但是,公司必須謹(jǐn)慎選擇CSP。CSP如 AWS,主要提供一個平臺,支持企業(yè)應(yīng)用程序,使安全與合規(guī)性成為操作的一個核心組成部分。
內(nèi)部IT組織和外部部署云環(huán)境的合規(guī)性責(zé)任,不應(yīng)被視為是一次性的,而應(yīng)當(dāng)作為持續(xù)的管理和監(jiān)控過程。源于使整體監(jiān)管環(huán)境與流體技術(shù)環(huán)境保持平衡—即云。法規(guī)要求在緩慢地發(fā)生變化,因此,IT組織需要做好準(zhǔn)備將環(huán)境和技術(shù)之間分離開,旨在進一步規(guī)范化。這種分開會引起監(jiān)管機構(gòu)以及法規(guī)的高度關(guān)注,從而無法應(yīng)對新興的挑戰(zhàn)。
京公網(wǎng)安備 11010502049343號