云安全合规(或云安全合规)是指在云环境中进行的操作对企业所在行业产生影响的特定管制标准来确保遵守的过程。。通常,企业必须遵循的云遵从标准有很多,云安全联盟的云控制矩阵(CSA CCM)以符合相应指令的方式配置和使用云服务是安全合规人员的责任。。
根据云服务,“CCM可以作为对云的实施进行系统评估的工具,为云供应链中哪些相关人员应该实施哪些安全措施提供指南”。因此,根据企业所属行业的不同,在将大部分业务转移到云上时,已经存在团队能够遵守的强大框架。。
在当今的环境下,特别是在医疗、金融服务、能源等监管严格的领域,云服从自动化我们需要做些什么。。有价值的云遵守工具具有检测遵守方面偏离指定组织标准,迅速将环境重置为整体“良好状态”的功能。。这不仅节省了时间和费用,还降低了被监管部门指责的可能性。。
从各州和地区的特定规定,到影响多个行业的全国公认的合规标准,有很多法定的和强烈推荐的监管框架。。在全球商业贸易中,有一些著名的准则被广泛要求遵守:。
这些基准是由Internet Security (CIS)非营利组织创建的,该组织致力于提高组织的安全和合规程序。。CIS是用于社区开发的IT和安全产品的安全配置基线(CIS基准),基准测试对象包括应用程序、云计算平台、操作系统等。。
欧盟的通用数据保护条例(GDPR)那么,无论组织和数据的地理位置如何,欧盟成员国公民的个人数据都必须得到保护。。这包括定期更新的技术和组织措施,以确保安全剂量符合当前的风险水平。。
美国联邦风险和审批管理计划(FedRAMP)是美国联邦政府为云服务提供安全评估、审批和持续监控的标准化方案。。FedRAMP的目的是确保企业能够安全可靠地利用最新的云解决方案和技术,特别是在涉及联邦信息的情况下。。
这个标准美国注册会计师协会(AICPA),定义了企业应该如何管理客户数据的报告指南。。这些报告可以帮助组织管理供应商的供应链,实施风险管理流程。。由于报告涉及的利益相关者范围广泛,所以必须以易于理解的标准化表达方式进行记载。。
医疗保险互操作性和责任法案(HIPAA)是以患者的医疗记录为保护对象的医疗信息(PHI)的企业,有义务有效保护这些信息不受安全侵害的法律。。HIPAA安全规则详细描述了电子PHI (ePHI)的管理,技术和物理管理。。由于该标准涉及的数据是机密性的,美国政府在2005年要求遵守该安全规则。。特别值得一提的是,重ipaa第二部分将于2022年发布,其本质上是“由美国任何部门或机构直接或间接实施、监管和支持的药物滥用教育预防、培训、治疗和康复人员保护患者的身份、诊断、预后或治疗记录,这些记录将维持在与治疗或研究相关的程序或活动的执行过程中。。
iso / iec 27001是由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的云安全合规管理标准。。iso / iec 27001中规定了信息安全管理系统的安全管理的最佳实践和全面的安全管理,组织可以享受其中包括的最佳实践的好处,全面的风险管理选择遵循的可选标准,以向顾客证明已经引入了sean。。
最后一点说得再详细一点,在大多数情况下,对于组织来说,将合规程序从必要的应对水平更进一步,采取适合本公司业务需求和固有环境的追加措施才是上策。。在现有的合规程序的基础上,建立这样的定制指南,我们可以采取积极的措施,享受到比维持必要的法规合规更多的好处。。
现在的情况与过去不同了,那时的云运营还很新鲜,没有人了解为特定组织调整云运营并持续遵守现行监管标准的复杂性。。向云运营迁移确实会带来很多好处,但也要注意迁移带来的复杂性。
组织在迎接云运营的“巨大变革”中面临的主要问题是,缺乏纵观整个环境的统一可视性。。这个问题实际上也会影响到人类用户对数据的访问权限、访问地点和访问频率的追踪。。
大多数侵犯云的行为来自错误设置。。Gartner表示,95%的网络安全侵犯是由云配置错误引起的。。有些是人为因素,有些是由于深信平台的默认设置可以充分应对问题,还有一些是出于想要更容易获取资源的需求。应。为了避免数据被侵犯,组织需要实施控制来防止、检测和修复这些错误。。
第三方审计师通常需要认证组织为了符合特定的监管标准而引入的控制是真实的。。根据要求,该组织必须提交第三方认证书,以验证安全的云操作习惯,以及该组织满足该部门特定的监管标准。。通常,认证的有效期是几年,但是认证更适合于证明现行的合规是持续的。。
如果草率地向云迁移,很容易变得复杂,可能弊大于利。云环境是非常短暂的,但传统系统和独家系统不是。。在组织加速向云迁移的过程中,很多组织还没有决定如何处理这些传统系统,但管理是必要的。。这样一来,DevOps团队就很难应对了。。除此之外,如果有资源和工作负载被排除在特定标准之外,情况就会变得更加复杂。。如果没有排除资源的机制,那么就会发生很多错误检测,费用高昂,可能会发生不希望发生的中断。。
接下来,让我们来看看能够解决符合监管标准和维持云端遵从度这一重大挑战的一些最佳做法,以及整体的卫生管理。。
数据加密 将数据的原始形式转换成不可读的形式。。 谷歌云平台(GCP)等服务,在接收到客户数据后,在写入磁盘并存储之前,总是自动加密的。。还有云安全提供商对凭据进行加密。。很多情况下,在使用这些凭据之前,我们需要执行一些解码层。。
关于认证信息,最小权限访问(LPA)的原则,只允许在云里执行特定任务的人和程序访问。。使用LPA的解决方案通常采用自动化,根据用户的角色来严格或放松访问许可。。
托拉斯这个概念的实现是一个非常方便的方法,可以帮助我们确保云环境非常安全。。所有人、端点、移动设备、服务器、网络组件、网络连接、应用程序工作负载、业务过程、数据流本质上是不可信的,并且每个交易在sean运行的时候,每一个都需要持续的认证和许可,所有的行动都必须是实时的和事后的可监察的。。
为了在云运营中合理设计框架,基本上需要达成共识的方法来实现和评估最适合利益相关者业务需求和优先顺序的云架构。应。这个原则最著名的例子就是AWS Well-Architected Framework帮助顾客识别高风险的问题。。