未能滿足合規性要求，可能會導致企業被驅逐出協會團體，被監管機構處以巨額罰款，最糟糕的情況是被法院起訴。無論是在內部部署設施還是在云中，合規性監控都是一項關鍵實踐。

合規性監控涵蓋從數據庫到網絡的各個領域，以及從應用程序更新到事件響應的任務。要構建云計算合規監控策略，首先要了解影響企業業務的法規或標準。然后，根據特定的合規性要求和使用的云平臺實施監控實踐和工具。

了解合規性要求

每個行業都有自己的規定以及頒發認證和認可的機構，而政府部門則執行相應用法規和標準。為了追蹤這些情況，企業的法律部門應該有一份適用的合規性標準清單。一些企業還設有合規官這樣的職位，也可能有一個內部審計小組。

常見的合規標準或法規包括GDPR、薩班斯-奧克斯利法案、HIPAA和PCIDSS。

每個合規標準都有一套相關的必須遵循的程序，以及要應用的保護措施。云合規性監控是收集和組織有關這些程序和保護措施的數據的問題。

主要的監控任務

云中的合規性監控需要執行多項任務，其中包括：

• 應用程序訪問監控
• 數據庫保護和監視
• 應用程序變更管理
• 事件管理和升級
• 網絡監控和安全
• 日志監控和管理

一種常見的策略是使用云計算和網絡監控工具收集的數據來創建所有這些領域的合規狀態的集中視圖。這種方法與當前的云計算和網絡監控實踐非常吻合。

要啟動云合規性監控策略，需要劃分上述任務，有些是設計時的考慮。在這里，應用程序將根據開發人員構建它的方式來符合合規性標準。其他是運行時考慮的主要因素，這意味著應用程序需要在操作期間進行監視以驗證合規性。企業應用于其云計算應用程序的特定工具和程序取決于合規性要求如何映射到這些類別。

將設計時合規性標準強制實施到開發管道中，并通過日志記錄和版本監控對其進行驗證。前者需要一種系統的方式來啟動、執行、審查、測試和部署云計算軟件。企業的團隊必須確定執行和記錄每個適用標準要求的工具。在應用程序設計和開發期間，開發人員應將事件或日志觸發器插入代碼中，以使合規性事件對監控工具可見。

用于軟件安全和管道管理的工具，例如Veracode和Checkmarx，有助于實施設計時合規性要求。審計軟件和數據實踐的工具，包括Momentum QMS、Synopsys的Black Duck和Gensuite，都是一些有用的補充。它們并不特定于特定的云平臺。控制用戶帳戶如何訪問云計算應用程序和資源的合規性管理工具也可能很有用，例如Active Directory、LDAP和應用程序訪問控制或零信任工具。

云計算團隊可以使用IT日志和事件管理工具和實踐來確認設計時合規性。例如，日志分析可以通過未經授權的訪問檢測記錄備份是否的合規性違規行為。其目標是驗證在應用程序設計期間建立的實踐，確保成功實施，并識別任何遺漏或錯誤的地方。日志聚合、管理和監控工具包括來自Dynatrace、SumoLogic、SolarWinds和其他公司的產品。

云合規監控工具

缺乏IT管理和監控工具的小型企業應該考慮結合監控和合規策略分析的工具。這些工具具有顯著的易用性優勢。但它們可能只支持某些標準和云平臺。

如果企業的合規性要求僅限于通用標準，例如GDPR或HIPAA，那么很容易找到可以從云托管應用程序收集數據并以標準、特定方式報告調查結果的監控工具。一些工具是特定于云計算提供商的，例如為AWS設計的Dash ComplyOps。例如Kion(以前稱為cloudtamer.io)其他工具，可以提供廣泛的合規性監控和映射功能，以及云計算管理功能。Kion支持特定的合規標準，以及企業可以通過策略與合規標準相關的通用監控。

如果找不到適合要求的云合規監控工具，同時使用多個云監控工具來收集適當的信息。安全監控通常是合規監控的一個組成部分。來自IT供應商(如SolarWinds和NetApp)的通用工具通常可以完成這項任務。云計算提供商的日志工具或集中式日志工具通常會提供超出安全合規性的合規性數據。云供應商的示例包括其集中式日志記錄服務中的Amazon Cloud Watch日志或Azure Monitor的一組分析和管理功能。在這些情況下，企業可能需要人工過程來收集和解釋收集的數據。

如果一家企業只使用一家云計算提供商的云計算服務，那么收集和分析合規性數據的步驟相當簡單。在多云和某些混合云部署中，企業可能需要獨立監控每個云部署并通過離線分析工具關聯數據。

云計算承諾會隨著時間而改變，而記錄可以用于選擇工具和方法的所有流程和選擇標準。