本文將介紹開發人員在為他們的應用程序進行安全性和合規性分類時需要考慮的事項。業務基于云計算的企業經常需要證明他們的軟件是按照安全最佳實踐來設置的,而合規標準和認證是了解企業安全狀況和與客戶建立信任的有效方式。
以下將重點討論使用公有云提供商的應用程序在合規性和安全性方面帶來的好處,以及企業應該考慮的注意事項。
云計算提供商使安全和合規性變得更容易
當企業使用云計算服務時,像啟動虛擬機或監視其性能這樣的過程會容易得多,因為所有的硬件和功能都已經提供。同樣,企業可以信任他們提供的安全功能,因為大多數主流云計算提供商已經投入了資源來獲得和維護許多常見的安全認證,例如PCI DSS和SOC 2。此外,任何一家云計算提供商的全球聲譽都取決于他們的安全記錄。
除了整體的信任因素之外,由于所有面向合規性的功能,使用云計算提供商提供的服務使企業更容易獲得和維護安全認證,如SOC2或ISO/IEC27001。以下介紹云計算提供商提供的一些此類功能的示例。
(1)支持合規性的內置功能
云計算提供商提供了許多內置功能,以幫助企業遵守行業最佳實踐和規則。例如,使用AWS S3存儲桶,可以為存儲在服務中的對象(文件和文件夾)創建專門的保留策略。企業可以配置對象刪除的限制,以及定義過期對象。這使得在金融等領域更容易滿足合規性標準。
云計算提供商可以使企業的生活更輕松的另一個領域是維護,因為他們自動更新操作系統和包。例如使用AWS Lambda,企業的代碼將在輕量級的隔離環境中執行。AWS云平臺完全承擔了底層主機的維護工作。這為企業的技術運營團隊減少了一件需要擔心的事情。
(2)與合規性監控工具的集成
像Vanta和Drata這樣的合規工具與主要的云計算提供商的云計算服務集成,并允許企業自動監控是否符合合規標準。因為這些工具可以直接插入到云提供商API中,因此它們能夠自動提取相關數據,并在配置錯誤時發送警報。
(3)內置審計日志和事件跟蹤
由于云計算提供商已經在企業的帳戶中收集了審計日志和跟蹤事件,因此對認證的某些審計檢查變得更容易。例如,對于谷歌云存儲,具有不同數量的詳細信息的多個日志記錄選項是開箱即用的。在云計算服務中設置日志集合非常簡單。因此,無論何時與審計人員共享日志,企業都可以提取結果作為合規性的證明。
(4)用戶管理和細粒度權限
特別注意哪些用戶可以特權訪問企業的云提供商帳戶,這對于降低安全漏洞的可能性大有幫助。這就是許多企業遵循最少特權原則的原因。云計算提供商提供了許多選項來創建權限受限的用戶帳戶,以滿足這一原則。例如,Azure AD(Azure的身份和訪問管理服務)允許在單個云計算服務級別配置用戶權限,甚至經常在該服務中的單個條目級別配置用戶權限。
主要的云計算提供商還提供了創建只使用API的用戶的可能性,或者甚至在企業的基礎設施中讓虛擬機承擔特定的用戶角色,而不需要為它創建任何憑證。
云計算提供商在安全性和合規性方面有很多優勢,但也面臨一些問題和挑戰。
云計算提供商不只是為企業解決合規問題
云計算提供商提供的云計算服務實現了許多功能,使企業更容易實現合規性。但企業和個人仍然需要確定需要使用什么來滿足合規性要求。實現和保持合規性的過程需要包括獲得合格的建議、實施所需的控制以及長期的監控控制。云計算提供商的功能只會減少完成這些步驟的難度。
需要注意的是,在尋求SOC 2等安全認證時,并沒有針對云計算服務客戶的特殊快速通道版本。企業仍然需要提供其使用的安全實踐的證據,無論是在內部部署還是通過云平臺。企業將需要查找IaaS提供商的安全認證,請求支持文檔,并將其提供給審核人員。審計的每一項要求都需要通過云計算提供商或企業直接提供的證據來滿足。
合規成本
進行合規性和安全認證時的另一個考慮因素是成本。大多數企業沒有意識到云中一些與合規相關的服務成本會變得多么高昂。AWS GuardDuty是一種流行的服務,可用于收集和存儲事件日志,按事件定價。如果每天有數以百萬計的事件發送到GuardDuty,總成本可能會迅速增加。
增加合規成本復雜性的是,使用模式以及未來的成本往往難以通過按使用付費的合規服務進行估計。使用GuardDuty的相同示例,如果清楚每天將生成多少事件,就很容易理解未來的成本。但事件的數量很難預測,工程團隊可能需要數周時間才能對復雜的SaaS應用程序的事件做出合理的估計。
鑒于潛在的無限成本影響,公有云中的合規性成為一項成本優化工作。明智的企業會花費時間計算和預計成本,并估計各種安全風險的可能性和影響。例如,金融服務公司的數據泄露可能對其業務造成毀滅性影響,因此此類公司可能愿意接受更高的合規成本。但是,對于安全風險較低的企業來說,高額的合規費用可能并不合理。
值得注意的是,大多數云計算提供商提供了多種方式來實現合規性。例如,如果GuardDuty對企業的用例來說過于昂貴,則可以通過其他方法來滿足特定的合規性檢查。例如可以選擇通過腳本每周檢查所有系統,而不是主動事件監控。企業還可以為低使用率的服務啟用某些監控(因此不會為此支付太多費用),但為應用程序的高事務部分尋找其他選項。
遵循的最佳實踐
以下是有關云安全性的一些最佳實踐建議。
(1)審批工作流程
審批工作流程是一個正式的流程,用于監控項目任務,并確保它們滿足最后期限、滿足業務和產品要求,并且沒有錯誤。具有清晰基礎流程和相關審計日志的標準化審批工作流程往往更容易滿足合規性檢查。使用云計算技術實現審批工作流有很多便捷的方法,例如使用無服務器計算。
(2)第三方服務驗證
除了使用云提供商提供的工具之外,企業可能還會使用第三方軟件工具。其合規監控流程應包括驗證使用的第三方服務的安全控制和合規標準。
(3)自動化
雖然可以人工跟蹤合規性,但這樣做是不可持續的,尤其是對于擁有數千名客戶的SaaS應用程序來說。因此建議使用軟件工具和自動化來監控合規性,并在基礎設施中的某些內容不再合規時創建警報。這使得該過程更快、更健壯。最重要的是,出于認證目的,它還使審核變得更容易。
如何開始
要了解更多信息,需要了解SaaS用戶通信如何構建安全性,然后是開發人員合規性指南以及如何正確獲取GDPR和客戶通信。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號