公有云可以使一些事情變得更容易，但是開發(fā)人員在創(chuàng)建符合規(guī)范的應(yīng)用時(shí)會遇到困難。除非IT團(tuán)隊(duì)知道具體的合規(guī)要求以及如何正確利用AWS，否則他們將會陷入困境。

諸如醫(yī)療保健機(jī)構(gòu)這樣的受管制行業(yè)，比方說，需要創(chuàng)建能夠承受攻擊，并滿足法規(guī)要求的亞馬遜Web服務(wù)（AWS）應(yīng)用。盡管合規(guī)性可能不是AWS或其早期采用者的第一要務(wù)，該公司使他們的客戶在其公有云上滿足法規(guī)遵從變得更容易上取得了很大進(jìn)展。

事實(shí)上，在AWS上面達(dá)到符合健康保險(xiǎn)流通與責(zé)任法案（HIPAA）的目標(biāo)并不難，根據(jù)總部位于紐約的Logicworks，一家AWS高級咨詢合作伙伴及管理服務(wù)合作伙伴的高級副總裁Stephanie Tayengco的描述。“AWS提供的基礎(chǔ)架構(gòu)能夠被HIPAA兼容，但使用它卻讓你既不安全，也不符合規(guī)范，”Tayengco指出。隨著醫(yī)療IT系統(tǒng)變得越來越復(fù)雜，本地技術(shù)延伸到AWS云，只是簡單地制定嚴(yán)格的安全策略并滿足法規(guī)遵從已經(jīng)不夠。但AWS可以提供幫助。

“你需要在發(fā)展的同時(shí)重新評估，”Tayengco補(bǔ)充道。“在你設(shè)計(jì)了安全措施來加強(qiáng)安全策略后，云自動化有助于保證它們在基礎(chǔ)設(shè)施的整個(gè)生命周期中能夠被執(zhí)行。”

相比之下，當(dāng)醫(yī)療保健公司需要依靠人工作業(yè)以保持安全性時(shí)，手動錯(cuò)誤的可能性會進(jìn)一步加劇攻擊者帶來的風(fēng)險(xiǎn)。

此外，HIPAA已經(jīng)在2009年被經(jīng)濟(jì)和臨床健康之衛(wèi)生信息技術(shù)法案（HITECH）所補(bǔ)充，現(xiàn)在包括了更復(fù)雜的要求以保護(hù)個(gè)人健康信息。在云的方面來說，這些規(guī)定中最關(guān)鍵的點(diǎn)是要求云服務(wù)提供商-就像在醫(yī)療保健系統(tǒng)中的任何其他實(shí)體一樣-必須是業(yè)務(wù)伙伴協(xié)議（BAA）的一部分。

HIPAA的規(guī)則強(qiáng)制規(guī)定這一點(diǎn)，所以這些商業(yè)伙伴在妥善保障受保護(hù)的健康信息方面必須有法律協(xié)議。 AWS有一份標(biāo)準(zhǔn)的商業(yè)伙伴協(xié)議，會定期的在和那些必須符合HIPAA要求的企業(yè)打交道時(shí)使用。

“AWS的不少服務(wù)都有被BAA所覆蓋，但你仍然要負(fù)責(zé)是以安全并滿足合規(guī)性要求的方式來配置和使用它們，”Tayengco說道。例如，客戶仍需對加密文件系統(tǒng)和傳輸中的數(shù)據(jù)負(fù)責(zé)，他們也必須確保日志被妥善保存。

AWS的合規(guī)性最近又采取了更進(jìn)一步的措施，使得其數(shù)據(jù)中心設(shè)施符合ISO 27018的標(biāo)準(zhǔn)，其中包括“建立普遍接受的控制目標(biāo)，以及采取保護(hù)個(gè)人身份信息（PII）措施的控制和規(guī)范方針，”根據(jù)該標(biāo)準(zhǔn)的原文描述。

有了這一配合的規(guī)則顯示出，要滿足AWS合規(guī)性，一家公司必須擁有一個(gè)控制系統(tǒng)來專門負(fù)責(zé)處理其內(nèi)容的隱私保護(hù)問題。此外，這家供應(yīng)商表示，其規(guī)則中固有的數(shù)據(jù)保護(hù)覆蓋了所有的數(shù)據(jù)，無論它是否是PII兼容。

該云供應(yīng)商在上周拉斯維加斯舉行的2015 re:Invent大會上還宣布了AWS GoldBase; GoldBase旨在幫助客戶創(chuàng)造安全并合規(guī)的工作負(fù)載。據(jù)該公司介紹，GoldBase將在一系列合規(guī)制度方面促進(jìn)安全部署，不僅包括HIPAA，還有美國聯(lián)邦信息安全管理法案，支付卡行業(yè)，刑事司法信息服務(wù)和聯(lián)邦金融機(jī)構(gòu)檢查委員會。

但就目前而言，AWS客戶可以依賴該公司對于聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（FedRAMP），一個(gè)四年前提出的聯(lián)邦計(jì)劃的承諾，該計(jì)劃提供了一個(gè)給使用云技術(shù)產(chǎn)品和服務(wù)的機(jī)構(gòu)所用的標(biāo)準(zhǔn)化安全評估，授權(quán)和監(jiān)控方式，Luis Benavides，位于弗吉尼亞州McLean的AWS經(jīng)銷商Day1 Solutions公司的CEO說道。

FedRAMP如此成功和廣泛的應(yīng)用已經(jīng)成為事實(shí)上的業(yè)界標(biāo)準(zhǔn)，使用范圍遠(yuǎn)遠(yuǎn)超出了聯(lián)邦政府。所有這些因素讓AWS合規(guī)向前邁進(jìn)了一步，他補(bǔ)充道。