數據傳輸、存儲、備份、檢索和訪問需要符合云計算合規性。雖然IT部門往往負責實施合規性,但可能(也可能應該)涉及其他職能部門。這種參與包括決策、監控、審計、治理、安全、數據保護、風險管理,以及法律。
合規性是一個非常嚴肅的話題,應該得到深入的理解,因為合規性失敗可能導致監管罰款、訴訟、網絡安全事件,以及聲譽損害。因此,了解云計算提供商提供的服務和企業要求的詳細信息非常重要。
本文概述了云計算合規性的注意事項,并列出了全球三大主要云計算服務提供商Amazon Web Services、Microsoft Azure、Google Cloud中常見的一些服務。有興趣采購云合規服務的組織應訪問相應服務提供商的網站以獲取最新信息。
云計算合規性問題包括客戶合規性和服務合規性管理。
云計算合規性:關鍵考慮因素
當人們考慮云計算合規性時出現的首要問題之一是用戶不用管理自己的基礎設施。
如果出現問題,企業將外包作為防御措施是行不通的。實際上,包括AWS和Microsoft Azure在內的云計算提供商強調了云計算合規性是雙重責任這一事實。雖然他們對用戶有一定的合同責任,但用戶必須注意自己的最佳利益。這包括為用戶的要求選擇正確的服務,正確處理用戶控制的配置等。
確保云計算合規性的其他一些考慮因素包括:
•數據。確定在云平臺中存儲的內容以及原因。
•數據位置。審核員可能會詢問數據的位置,但云計算服務提供商可能不會透露該信息。
•資產管理。云計算服務提供商負責管理其基礎設施資產,企業負責管理自己的資產,包括托管的操作系統和應用程序。
•系統和數據訪問控制。合規性往往涉及數據安全性。企業應該了解哪些人可以采用其云計算服務提供商(包括第三方承包商)的服務,并訪問哪些內容。
•配置管理。例如,如果企業錯誤配置AWS S3存儲桶,則由自行承擔錯誤。
•數據加密。保持合規性通常意味著在靜止和運動中加密數據以保護它。
•共享或私有資源。根據企業的特定合規性要求,可能需要云計算服務提供商的數據中心中的私有數據中心套件。
•服務水平協議(SLA)。適用于企業的法律和法規可能有服務級別協議要求。這可能會限制其可以使用的服務類型。
•數據保護。了解云計算提供商保護企業的信息的程度非常重要。
•合規性認證和法律認可的替代品。并非所有云計算合規性服務都能夠通過認證。如果由于某種原因無法進行認證,云計算提供商可能會找到一種符合標準的方法,例如遵守更嚴格的標準。
•審計。了解哪些第三方審核云計算合規性并閱讀報告。還要了解企業是否有權審核云合規性。
•事件響應。了解潛在事件的范圍以及如果出現這些類型的事件(例如,接收警報和響應速度),應采取何種類型的事件響應。
•電子發現功能。這是一個法律問題,而不是監管問題。如果企業發現自己處于任何類型的訴訟中,將需要快速訪問所請求的數據,并且只訪問所請求的數據。
•安全要求。企業應該了解通常選擇正確的云計算服務所需的安全形式。出于合規性目的,需要了解法律或法規要求的安全級別。
•災難恢復。發生電力中斷。適用于企業的法律和法規可能具有特定的災難恢復要求。
•盡職調查。了解如何處理定期盡職調查。
•信息資源。云計算服務提供商提供的信息資源差別很大。提供大量信息的那些可以幫助用戶從一開始就成功實現云計算合規性。
•合規報告。了解用戶可以訪問和閱讀的合規報告的范圍。
云計算合規服務提供商可能涵蓋的內容
不同的云計算服務提供商以不同方式呈現其云計算合規性服務。一些提供商使用列表而其他提供商使用網格。有些人將事情分類,而有些人則沒有。
例如,AWS公司有三個列表涵蓋認證/證明、法律/法規/隱私、路線/框架。微軟公司和谷歌公司更喜歡采用用戶體驗元素。此外,微軟公司還將其合規服務分為全球、政府、行業和地區。
由于信息的呈現因服務提供商而異,因此用戶應仔細審查產品。在合規性方面,假設是危險的,因此IT部門應與上述其他職能部門合作,以確保合規的覆蓋范圍。
全球三大云計算提供商共有的云計算合規性資源包括:
•歐洲的云計算互聯網服務提供商(CISPE)——這是一家促進高級別安全和數據保護的非營利組織。
•明確合法的海外使用數據法(云計算法案)——即2018年頒布的美國聯邦法律。
•互聯網安全中心(CIS)基準——防止網絡攻擊的配置指南。
•刑事司法信息服務(CJIS)——由執法部門、國家安全部門、情報部門針對云計算技術提出的一套建議。
•云計算安全聯盟(CSA)——最佳實踐。
•英國國家網絡安全中心——頒發的網絡基礎設施及認證機構
•1974年“家庭教育權利和隱私法”(FERPA)——美國聯邦政府頒布的一條法律,管理公共實體(包括潛在雇主、公共資助教育機構、政府部門)獲取教育信息和記錄。
•歐盟-美國隱私保護——數據保護框架。
•美國聯邦風險和授權管理計劃(FedRAMP)——安全標準認證
•美國聯邦信息處理標準(FIPS)——用于批準加密模塊的美國政府計算機安全標準。
•歐盟通用數據保護法規(GDPR)——歐盟的隱私保護替代品,于2018年生效。
•G-Cloud——簡化英國政府實體采購技術產品和服務的框架。
•健康保險流通與會計法案(HIPAA)——保護云計算系統中健康信息的指南。
•ISO 9001——質量管理體系(QMS)的國際標準
•ISO 27001——一種國際標準,規定了在組織范圍內建立、實施、維護、持續改進信息安全管理系統的要求。
•ISO 27017——一種國際標準,為適用于提供和使用云計算服務的信息安全控制提供指導。
•多層云戰略(MTCS SS584)——新加坡的健全風險管理和安全實踐標準、透明度和問責制。
•美國電影協會(MPAA)——內容安全的最佳實踐。
•號碼法案——2016年頒布的日本12位個人識別號碼系統。
•美國國家標準與技術研究院(NIST)800-53 ——美國聯邦信息系統的安全和隱私控制目錄。
•支付卡行業數據安全標準(PCI DSS)——包含存儲、處理或傳輸支付卡持卡人數據的任何企業的12項要求的標準。
•美國證券交易委員會(SEC)第17-a條——經紀人-交易商數據保存規則。
•系統和組織控制(SOC)1 ——服務組織控制的報告,可能與用戶實體對財務報告的內部控制相關。
•系統和組織控制(SOC)2——評估組織與安全性、可用性、處理完整性、機密性或隱私相關的信息系統的報告。
•系統和組織控制(SOC)3——與SOC 2不同的報告,沒有詳細說明所執行的測試,并且旨在用作營銷材料。
京公網安備 11010502049343號