扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
如果公司的应用程序位于内部服务器,那么,公司只负责满足法规遵从需求。公司的业务将应用程序和数据移动到云,但是,这并没有改变所有的合规性责任。合规性责任不能回避,这就是为什么必须要对云提供商和应用程序所有者的法规遵从需求有全面的了解。
公司可以利用外部部署的IT功能,满足法规遵从需求,而且可以省去很多麻烦。然而,只有当公司尽职调查,对所有云服务提供商(CSP)进行审查,然后做出明智选择时,才会产生合规性的问题。如果不进行调查,符合合规性的责任简直是一场噩梦。公司不采用公共云的一个主要原因是还要应对法规遵从问题。
所有的合规性标准,包括巨大的安全需求、信息机密性、完整性、可用性、身份验证、审计和日志记录和变更管理。针对法规而言,如2002年的萨班斯-奥克斯利法案(SOX), 2004年的支付卡行业(PCI),以及联邦风险和授权管理程序(FedRAMP)。
云的法规遵从,可以分解为几个关键领域,包括数据隐私、信息安全、各种政府的法规,特定行业的法规(HIPAA、PCI等)等等。对于法规而言,一些法规要求很重要,但在某些方面,对许多已经制定的合规性法规标准来说,采取必要的行动是共同的。
合规性被视为云广泛采用的一大障碍,确实如此。
法规遵从产生的影响,外部部署云计算责任的分担,主要受控于云中信息的类型和选择的服务模型类型 (公众IaaS、公共PaaS,或者公共SaaS)。当我们专注于IT组织移动到公共IaaS时,应当关注云服务提供商与关于云服务模型公司之间的合规性责任(CSP)。当客户从SaaS移动到IaaS服务模型时,云服务模型责任的水平通常转向客户。
1、公共基础设施即服务
2、公共平台即服务
3、公共软件即服务
关于公众基础设施即服务模型,CSP能够减轻客户的操作负担,操作、管理和控制组件,从主机操作系统和虚拟化层乃至CSP设备的物理安全。公司负责数据、应用程序、解决方案堆栈、客户操作系统、杀毒软件、防火墙、数据加密、应用程序安全性、变更管理等。公司分配所需的虚拟服务器和虚拟资源。这与内部模型非常类似,除了CSP,CSP控制着物理服务器、存储、网络、数据存储在CSP,并且CSP控制着CSP安装的物理安全。
如果公司正将一部分IT功能移动到CSP,那么,公司需要完全理解可见性,可见性使公司能够观察到直接控制之外的合规性管理责任和工作。在与CSP签署任何类型的协议之前,公司应该检查CSP,确保所选择的CSP能够满足公司的安全性和操作的需要,如PCI DSS合规性验证。
公司应该了解其使用CSP的权利,从而确定CSP如何提供持续的保证,保证所需的控制已到位。组织应该使用连续监测,从而能够观察到CSP提供哪些与法规和操作要求相关的服务。公司客户的法规需求主要条款包含在合同中,很容易被忽视。因此,当与CSP进行谈判时,还应该考虑这些需求。
当与CSP分担责任时,公司必须应对以下一些问题:
通常,云的法规需求,你需要担心的是:如果是在内部,那么你必须要谨慎。但是,还有其他你必须要注意的问题,这些问题可以通过这些问题得到解决:数据存储在哪里?我可以信任CSP使用我的数据吗?如果我急需使用数据,我可以快速得到数据吗?
CSP同时经过了法规认证,不会自动使公司符合法规。
合规性被视为云广泛采用的一大障碍,而且理所当然。合规性受控于法律和立法,因此,没有其它选择,只能服从。一些合规性需求都在CSP的控制之下。CSP能够帮助公司实现合规性需求,缓解保持合规性的过程,但是,公司必须谨慎选择CSP。CSP如 AWS,主要提供一个平台,支持企业应用程序,使安全与合规性成为操作的一个核心组成部分。
内部IT组织和外部部署云环境的合规性责任,不应被视为是一次性的,而应当作为持续的管理和监控过程。源于使整体监管环境与流体技术环境保持平衡—即云。法规要求在缓慢地发生变化,因此,IT组织需要做好准备将环境和技术之间分离开,旨在进一步规范化。这种分开会引起监管机构以及法规的高度关注,从而无法应对新兴的挑战。
云计算合规性
PCI DSS 3.0:保持云合规性的三个关键需求
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号