組織需要深入了解頂級云計算合規性工具,這些工具可幫助其實現法規遵從性,并實施行業最佳實踐。
遷移到云計算可以減輕組織的基礎設施管理問題,但這并不能免除企業確保云計算合規性的責任。實際上,云計算合規性和治理在云計算和數據中心中仍然至關重要。
云計算中的合規性是一個多方面的問題。組織的云計算基礎設施需要實現合規性,以及云計算廠商需要具備提供滿足各種需求的服務的能力。而且,組織需要管理自己對云計算資源的使用以及數據使用,以維護合規性和行業最佳實踐。
例如,公共云提供商可以使其平臺認證合規,以用于需要滿足支付卡行業數據安全標準(PCI DSS)的組織。
目前有多種工具和服務可以幫助企業滿足并保持合規性。有些工具與云計算工作負載保護平臺管理重疊,而其他工具則專門針對合規性而專門構建。每個頂級公共云供應商(AWS、Microsoft Azure、Google Cloud和IBM Cloud)都提供了可用于組織監控合規性工作的工具。
如何選擇云計算合規性工具
在選擇云計算合規性工具時,組織需要考慮許多關鍵標準。雖然某種工具可能是一家公司的理想選擇,但它可能不適用于另一家公司,具體取決于對某些功能的需求。
作為云計算項目管理決策的一部分,有許多關鍵考慮因素需要評估:
·合規范圍。有許多不同的合規性規范,確定組織需要涵蓋哪些合規性,并確保選擇符合這些法規的解決方案非常重要。其中最常見的是PCI-DSS、健康保險流通與責任法案(HIPAA)和通用數據保護法規(GDPR)。
·內部集成。許多組織都擁有云計算和內部部署資產,也就是真正的混合云,因此需要管理以實現合規性。如果企業有兩種類型的環境,需要考慮可以處理內部部署和云計算IT資產的解決方案。
·綜合安全。有些工具是獨立的合規解決方案,而其他工具則直接將安全性集成到云工作負載管理中,如果企業尚未采用云計算安全控制,需要考慮具有集成安全性的解決方案。
·報告功能。無論好壞,都要報告任何合規制度的核心要素。在評估不同工具時,需要查找審核員要求的報告功能。
在Datamation公司提供的頂級公司列表中,重點介紹了提供頂級云計算合規工具的供應商
1.Cavirin
潛在買家的價值主張。除了合規性之外,Cavirin公司對于希望更好地了解其整體風險和網絡態勢的組織來說是一個很好的選擇。
關鍵價值/差異化因素:
•針對多個安全框架(包括NIST)和指南(包括PCI-DSS、HIPAA和GDPR)的集成合規性映射。
•可以幫助識別云計算和本地部署中的潛在漏洞區域。
•Cavirin公司更獨特的關鍵功能之一是該平臺的網絡態勢評分,它提供了IT資產的高級概述以及所有內容的安全性。
•該平臺還可以與開發和DevOps工作流程集成,以幫助確保在開發應用程序時完成合規性。
2.Checkpoint CloudGuard Dome9
潛在買家的價值主張。CloudGuard Dome9是希望確保云計算工作負載安全,并實現合規性的組織的理想選擇。對于那些已經使用CheckPoint更廣泛產品組合的其他部分的人來說,這也是一個明顯的選擇。在這種情況下,互操作性會很強。
關鍵價值/差異化因素:
•CheckPoint于2018年10月以1.75億美元收購了Dome9 Arc平臺,此后更名為CheckPoint CloudGuard Dome9。
•組織的一個主要優勢是實時了解云計算資產合規性以及與行業最佳實踐保持一致。
•平臺的主要區別之一是身份和訪問管理(IAM)集成,可用于幫助保護工作負載,并在需要時為特定工作負載提供及時的權限提升。
•補救是另一個核心要素,可幫助企業修復差距和錯誤配置以實現合規性。
•啟用合規性報告,并提供可提供給審核員的可打印狀態報告。
3.Lacework
潛在買家的價值主張。對于關注多個云平臺的合規性以及檢測潛在的異常值和惡意項目的組織,Lacework是一個很好的選擇。
關鍵價值/差異化因素:
•除了合規性之外,Lacework的關鍵區別在于其Polygraph功能,它可以直觀地表示云計算工作負載、API和賬戶角色之間的關系,以提供適當的場景。
•在合規性方面,Lacework可以監控云工作負載,以實現互聯網安全中心(CIS)云計算基準定義的安全配置,以及監控包括PCI-DSS和HIPAA在內的框架的合規性。
•持續合規性是Lacework平臺的關鍵屬性,使用戶能夠隨時跟蹤合規趨勢。
•集成安全功能為基于主機的入侵檢測(HID)和文件完整性監控(FIM)提供控制。
4.CloudPassage Halo
潛在買家的價值主張。CloudPassage Halo旨在幫助任何規模的企業識別和修復云風險。
關鍵價值/差異化因素:
•CloudPassage為在本地運行的工作負載以及跨公共云或混合云部署的工作負載提供自動安全可見性和合規性監控。
•Halo平臺有助于識別和監控多個合規框架的云資產,包括CIS AWS Foundations Benchmark、HIPAA、ISO 27001、NIST 800-53、NIST 800-171、HIPAA和PCI DSS。
•集成的安全功能還有助于實現合規性,Halo特別適用于PCI DSS,包括文件完整性監控、配置管理、入侵檢測和日志管理功能。
•云計算服務管理(CSM)和軟件漏洞評估工具是該平臺的關鍵差異化因素,使組織能夠真正了解不同類型的云應用程序工作負載的最大風險。
5.Nutanix Xi Beam
潛在買家的價值主張。對于已經購買了Nutanix云計算產品組合的其他元素的組織來說,Xi Beam是一個明顯的選擇,同時它仍然是一個堅實的獨立選項。
關鍵價值/差異化因素:
•Xi Beam的一個主要功能是全局摘要儀表板,它在全球范圍內顯示所有賬戶的云計算運行狀況,可針對不同的粒度級別進行自定義。
•GDPR、PCI-DSS、HIPAA和CIS基準測試的法規遵從性監控和審核檢查是該平臺的一部分,具有250多項自動審核檢查。
•能夠通過合規性摘要隨時查看趨勢,直觀地顯示不同合規性要求的合規性。
•Xi Beam的主要區別之一是能夠通過python腳本創建自定義策略,以實現最佳實踐和配置。
•可以安排合規性審計報告,以便每日、每周、每月向利益相關方發送。
6.Qualys Cloud Platform
潛在買家的價值主張。Qualys的合規性能力是公司云平臺的模塊化部分,使組織能夠只挑選他們需要的東西。整體平臺不僅提供合規性承諾,還提供IT資產和漏洞管理。
關鍵價值/差異化因素:
•PCI-DSS合規性模塊是一個特別強大的關鍵差異化因素,是一個非常專注和全面的解決方案。該模塊可以首先掃描所有設備,以查看PCI-DSS的范圍,然后確定合規性狀態。
•雖然生成報告在所有合規性解決方案中都很常見,但PCI-DSS模塊更進一步,PCI執行報告可以自動發送到金融機構以記錄PCI合規性。
•合規性也是最佳實踐,這是策略合規性模塊通過內部部署和云資產進行自動安全配置評估所支持的。可以進行合規性檢查以符合不同的最佳實踐,包括全球互聯網安全中心(CIS)基準測試。
•特別值得注意的是用于合規性監控的帶外配置(OCA)模塊,該模塊將合規性監控擴展到不易于定位或掃描的資產。
7.Sophos Cloud Optix
潛在買家的價值主張。Cloud Optix是尋求能夠與ServiceNow或Jira集成以實現工作流和IT服務管理的合規性平臺的組織的理想解決方案。
關鍵價值/差異化因素:
•Cloud Optix采用無代理方法以大部分自動化方式發現資產并識別安全狀況,這可以為組織節省時間。
•合規性和最佳實踐監控可以與CIS、SOC2、HIPAA、ISO 27001和PCI DSS以及其他模板一致,以及創建自定義策略和實踐的選項。
•持續掃描資產是核心功能,通過直觀的儀表板可以查看狀態可用性,該儀表板提供對合規性狀態的高級概述,并可以選擇深入了解實際情況。
•能夠設置“防護欄”以限制對關鍵設置的更改可能使組織面臨潛在的合規性違規的關鍵區別。
8.Symantec Control Compliance Suite
潛在買家的價值主張。 Control Compliance套件是中型到大型組織尋求一套強大的合規性和最佳實踐監控和分析功能的最佳選擇之一。
關鍵價值/差異化因素:
•該套件包含多達五個可單獨或一起使用的核心模塊,包括用于發現的標準管理器、漏洞管理器,用于程序控制的評估管理器,用于與最佳實踐和合規性機制保持一致的策略管理器以及風險管理器。
•廣泛覆蓋不同類型的IT資產是識別云平臺、移動、物聯網(IoT)和網絡資產的關鍵差異化因素,以確保它們與所需的合規性要求和最佳實踐保持一致。
•除了確保正確配置和修補項目之外,集成的漏洞管理功能還采用了威脅分析,可以幫助識別和隔離高風險資產。
•合規性覆蓋率首屈一指,具有報告OBIT、GLBA、HIPAA、HITRUST、ISO、ITIL、NERC-FERC、NIST、PCI、SOX等的集成功能,可通過平臺進行15,000多次配置檢查。
供應商比較圖表
京公網安備 11010502049343號