對于任何將工作負載和應用程序遷移到云的組織而言���,最重要的考慮因素之一就是確保其所基于的云計算基礎設施是安全的���。
而對于許多組織而言,滿足某些合規(guī)標準的需求不僅是遵守行業(yè)最佳實踐的問題����,而且在特定情況下是法律要求的。處理敏感的個人��、財務和健康數(shù)據(jù)的組織必須驗證它們是否具有適當?shù)目刂拼胧﹣肀Wo該數(shù)據(jù)�����,無論該數(shù)據(jù)駐留在其自己的本地數(shù)據(jù)中心中還是在云中�,以及在傳輸過程中��。
盡管從技術上講�����,可以在不合規(guī)的基礎設施之上構(gòu)建安全的應用程序����,但對于客戶而言��,這樣做是不切實際的��。因此����,對于云基礎設施提供商而言���,與其客戶一樣�����,標準合規(guī)性也是一個大問題����。實際上�����,對于大多數(shù)組織而言�,遵守安全標準是云計算供應商選擇過程中的必要先決條件。
符合標準
有許多合規(guī)標準���,例如支付卡行業(yè)數(shù)據(jù)安全標準(PCIDSS)����、ISO/IEC27001:2013、HITRUST和SOC2�。PCIDSS由支付卡行業(yè)定義,目的是確保信用卡信息安全�����。PCI需要采取措施��,例如加密持卡人數(shù)據(jù)的傳輸并使用防火墻對其進行保護��。無論大小或處理量如何�����,任何傳輸�、存儲����、處理或接受信用卡數(shù)據(jù)的業(yè)務都必須遵守PCI標準。ISO27001是用于數(shù)據(jù)安全性的更通用的國際標準����。HITRUST旨在確保組織可以根據(jù)HIPAA法規(guī)安全地處理醫(yī)療保健信息����。對于所有云計算服務提供商而言�����,最常見的合規(guī)性標準也許就是SOC2�。SOC2信任服務標準概述了一個控制要求框架,該要求可應用于所有在云中存儲客戶數(shù)據(jù)的組織����,包括所有SaaS和IaaS公司以及那些使用云存儲自己的客戶信息。
客戶應期望其云基礎設施提供商將其年度SOC2Type2審核報告(應由獨立的第三方審核公司準備)供審核�����。SOC2Type2審核是對客戶數(shù)據(jù)安全性��、可用性�����、機密性和隱私性控制措施的操作有效性進行全面評估����。他們在對云服務提供商進行風險評估時為客戶提供有價值的信息��。SOC2審計報告可以向客戶保證�,云基礎設施供應商為關鍵業(yè)務應用程序提供了安全并符合標準的基礎���。
除了為云基礎設施提供商及其客戶提供有關安全控制實施的通用語言和理解之外�,標準合規(guī)性還被視為組織內(nèi)部安全文化的指示����。實際上,某些不需要遵循特定標準(例如PCI)的客戶可能仍會要求它(或?qū)崿F(xiàn)它的路線圖)���,因為它說明了基礎設施提供商的運營效率�。
云安全方程式的另一個關鍵方面是了解共享責任模型�。云基礎設施提供商通常會明確說明他們負責總體安全框架的哪些方面以及客戶必須自己管理的那些方面。一般而言�����,基礎設施提供商負責保護基礎設施本身�,包括構(gòu)成托管平臺的人員��、硬件、軟件���、網(wǎng)絡和物理設施��?���?蛻敉ǔX撠煴Wo自己的環(huán)境���,包括來賓操作系統(tǒng)�,應用程序和數(shù)據(jù)�����。例如����,基礎設施提供商通常將負責為托管云平臺的系統(tǒng)和應用程序?qū)嵤┥矸莨芾恚淇蛻魧⒇撠煘槠湓骗h(huán)境中的系統(tǒng)和應用程序?qū)嵤┥矸莨芾?���。對于客戶來說,了解他們的責任從哪里開始以及基礎設施提供商的終點是至關重要的����,以防止任何可能導致漏洞的漏洞�。
兼容的基礎設施使客戶更容易構(gòu)建符合相同標準的安全應用程序��?����;A設施提供商可以通過自己遵守法規(guī)來簡化其法規(guī)遵從流程���,這不僅使數(shù)字世界更加安全�����,而且還可以提供競爭優(yōu)勢����。
組織通常會花費大量時間��,精力和金錢來實現(xiàn)其自己的應用程序��,網(wǎng)絡和內(nèi)部部署基礎結(jié)構(gòu)中的標準合規(guī)性�。對于從事特定行業(yè)(例如金融服務)的組織來說�,保持符合PCIDSS等標準的負擔甚至可能成為云遷移的障礙(以及性能�����,規(guī)模和業(yè)務敏捷性的相關優(yōu)勢)�����。通過提供標準合規(guī)性�,云基礎設施提供商可以降低風險并簡化客戶遷移到云的過程�。
