精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

如果公司的應用程序位于內部服務器，那么，公司只負責滿足法規遵從需求。公司的業務將應用程序和數據移動到云，但是，這并沒有改變所有的合規性責任。合規性責任不能回避,這就是為什么必須要對云提供商和應用程序所有者的法規遵從需求有全面的了解。

公司可以利用外部部署的IT功能，滿足法規遵從需求，而且可以省去很多麻煩。然而,只有當公司盡職調查，對所有云服務提供商(CSP)進行審查,然后做出明智選擇時，才會產生合規性的問題。如果不進行調查，符合合規性的責任簡直是一場噩夢。公司不采用公共云的一個主要原因是還要應對法規遵從問題。

將法規遵從的責任進行分解

所有的合規性標準，包括巨大的安全需求、信息機密性、完整性、可用性、身份驗證、審計和日志記錄和變更管理。針對法規而言，如2002年的薩班斯-奧克斯利法案(SOX), 2004年的支付卡行業(PCI),以及聯邦風險和授權管理程序(FedRAMP)。

云的法規遵從，可以分解為幾個關鍵領域，包括數據隱私、信息安全、各種政府的法規，特定行業的法規(HIPAA、PCI等)等等。對于法規而言，一些法規要求很重要，但在某些方面,對許多已經制定的合規性法規標準來說，采取必要的行動是共同的。

合規性被視為云廣泛采用的一大障礙，確實如此。

保密性：信息必須保密,防止未經授權的用戶訪問信息。

完整性：記錄禁止被未經授權的個人或實體修改。

可用性：系統需要設計,從而能夠妥善處理錯誤，抵抗拒絕服務攻擊。

驗證：信息只提供給經過授權的個人，抵抗拒絕服務攻擊。

審計和日志：軟件系統必須生成所有必要的日志信息，構建一個清晰的審查跟蹤，能夠顯示用戶或實體是如何訪問并使用資源的。

變更管理：變更管理在合規性中起著重要的作用，從審計的角度和操作上，再到能確保所有的變更滿足政策和相關法規的規定。

合規性需求因云類型的不同而各異

法規遵從產生的影響，外部部署云計算責任的分擔，主要受控于云中信息的類型和選擇的服務模型類型 (公眾IaaS、公共PaaS，或者公共SaaS)。當我們專注于IT組織移動到公共IaaS時，應當關注云服務提供商與關于云服務模型公司之間的合規性責任(CSP)。當客戶從SaaS移動到IaaS服務模型時，云服務模型責任的水平通常轉向客戶。

1、公共基礎設施即服務

公司控制數據和應用程序

公司共享控制虛擬服務器

CSP控制物理服務器、存儲和網絡

2、公共平臺即服務

公司控制數據

公司共享控制應用程序和虛擬服務器

CSP控制物理服務器、存儲和網絡

3、公共軟件即服務

公司共享控制數據

CSP控制應用程序，虛擬服務器，物理服務器，存儲和網絡

清楚地了解共享合規性的責任

關于公眾基礎設施即服務模型,CSP能夠減輕客戶的操作負擔,操作、管理和控制組件，從主機操作系統和虛擬化層乃至CSP設備的物理安全。公司負責數據、應用程序、解決方案堆棧、客戶操作系統、殺毒軟件、防火墻、數據加密、應用程序安全性、變更管理等。公司分配所需的虛擬服務器和虛擬資源。這與內部模型非常類似，除了CSP，CSP控制著物理服務器、存儲、網絡、數據存儲在CSP，并且CSP控制著CSP安裝的物理安全。

如果公司正將一部分IT功能移動到CSP，那么，公司需要完全理解可見性,可見性使公司能夠觀察到直接控制之外的合規性管理責任和工作。在與CSP簽署任何類型的協議之前，公司應該檢查CSP,確保所選擇的CSP能夠滿足公司的安全性和操作的需要，如PCI DSS合規性驗證。

公司應該了解其使用 CSP的權利，從而確定CSP如何提供持續的保證,保證所需的控制已到位。組織應該使用連續監測，從而能夠觀察到CSP提供哪些與法規和操作要求相關的服務。公司客戶的法規需求主要條款包含在合同中，很容易被忽視。因此，當與CSP進行談判時，還應該考慮這些需求。

當與CSP分擔責任時，公司必須應對以下一些問題:

安全責任的說明：公司將監管數據遷移到公共云環境，將不得不依賴CSP的一些合規性措施。圍繞著云服務模型進行討論，展示了想象中的安全保衛處是什么樣的。

數據需求的地址位置：一些法規規定,敏感信息可以存儲在哪里,不能存儲在哪里。美國政府機構需要保證CSP不會在美國以外的設施內存儲或管理信息。在其他情況下,公司可以要求將數據存儲在特定國家邊界的邊界內。

防止內部威脅：公司不得不防止內部威脅，避免內部惡意的管理員，避免未經授權的其他虛擬服務器遷移到虛擬服務器。敏感數據不能存儲在一個未經授權的服務器中。

安全策略的實施：公司和CSP必須親自見證安全策略的實施。

不要忽視這些方面的問題

通常，云的法規需求，你需要擔心的是：如果是在內部，那么你必須要謹慎。但是，還有其他你必須要注意的問題，這些問題可以通過這些問題得到解決:數據存儲在哪里?我可以信任CSP使用我的數據嗎?如果我急需使用數據，我可以快速得到數據嗎?

CSP同時經過了法規認證，不會自動使公司符合法規。

合規性被視為云廣泛采用的一大障礙,而且理所當然。合規性受控于法律和立法，因此，沒有其它選擇,只能服從。一些合規性需求都在CSP的控制之下。CSP能夠幫助公司實現合規性需求，緩解保持合規性的過程，但是，公司必須謹慎選擇CSP。CSP如 AWS，主要提供一個平臺，支持企業應用程序，使安全與合規性成為操作的一個核心組成部分。

內部IT組織和外部部署云環境的合規性責任，不應被視為是一次性的，而應當作為持續的管理和監控過程。源于使整體監管環境與流體技術環境保持平衡—即云。法規要求在緩慢地發生變化，因此，IT組織需要做好準備將環境和技術之間分離開,旨在進一步規范化。這種分開會引起監管機構以及法規的高度關注，從而無法應對新興的挑戰。