企業(yè)設(shè)置自己的服務(wù)器需要大量的前期投資和持續(xù)的維護，這就是當(dāng)今大多數(shù)科技公司使用IaaS提供商來滿足他們的計算需求的原因。像AWS、谷歌云和Microsoft Azure這樣的云計算提供商負(fù)責(zé)基礎(chǔ)設(shè)施的運營和安全，例如提供新的服務(wù)器，并為用戶保持其最新運行狀態(tài)，他們提供的服務(wù)使用戶的開發(fā)團隊能夠騰出時間，專注于為其應(yīng)用程序構(gòu)建有價值的新功能。

本文將介紹開發(fā)人員在為他們的應(yīng)用程序進行安全性和合規(guī)性分類時需要考慮的事項。業(yè)務(wù)基于云計算的企業(yè)經(jīng)常需要證明他們的軟件是按照安全最佳實踐來設(shè)置的，而合規(guī)標(biāo)準(zhǔn)和認(rèn)證是了解企業(yè)安全狀況和與客戶建立信任的有效方式。

以下將重點討論使用公有云提供商的應(yīng)用程序在合規(guī)性和安全性方面帶來的好處，以及企業(yè)應(yīng)該考慮的注意事項。

云計算提供商使安全和合規(guī)性變得更容易

當(dāng)企業(yè)使用云計算服務(wù)時，像啟動虛擬機或監(jiān)視其性能這樣的過程會容易得多，因為所有的硬件和功能都已經(jīng)提供。同樣，企業(yè)可以信任他們提供的安全功能，因為大多數(shù)主流云計算提供商已經(jīng)投入了資源來獲得和維護許多常見的安全認(rèn)證，例如PCI DSS和SOC 2。此外，任何一家云計算提供商的全球聲譽都取決于他們的安全記錄。

除了整體的信任因素之外，由于所有面向合規(guī)性的功能，使用云計算提供商提供的服務(wù)使企業(yè)更容易獲得和維護安全認(rèn)證，如SOC2或ISO/IEC27001。以下介紹云計算提供商提供的一些此類功能的示例。

(1)支持合規(guī)性的內(nèi)置功能

云計算提供商提供了許多內(nèi)置功能，以幫助企業(yè)遵守行業(yè)最佳實踐和規(guī)則。例如，使用AWS S3存儲桶，可以為存儲在服務(wù)中的對象(文件和文件夾)創(chuàng)建專門的保留策略。企業(yè)可以配置對象刪除的限制，以及定義過期對象。這使得在金融等領(lǐng)域更容易滿足合規(guī)性標(biāo)準(zhǔn)。

云計算提供商可以使企業(yè)的生活更輕松的另一個領(lǐng)域是維護，因為他們自動更新操作系統(tǒng)和包。例如使用AWS Lambda，企業(yè)的代碼將在輕量級的隔離環(huán)境中執(zhí)行。AWS云平臺完全承擔(dān)了底層主機的維護工作。這為企業(yè)的技術(shù)運營團隊減少了一件需要擔(dān)心的事情。

(2)與合規(guī)性監(jiān)控工具的集成

像Vanta和Drata這樣的合規(guī)工具與主要的云計算提供商的云計算服務(wù)集成，并允許企業(yè)自動監(jiān)控是否符合合規(guī)標(biāo)準(zhǔn)。因為這些工具可以直接插入到云提供商API中，因此它們能夠自動提取相關(guān)數(shù)據(jù)，并在配置錯誤時發(fā)送警報。

(3)內(nèi)置審計日志和事件跟蹤

由于云計算提供商已經(jīng)在企業(yè)的帳戶中收集了審計日志和跟蹤事件，因此對認(rèn)證的某些審計檢查變得更容易。例如，對于谷歌云存儲，具有不同數(shù)量的詳細(xì)信息的多個日志記錄選項是開箱即用的。在云計算服務(wù)中設(shè)置日志集合非常簡單。因此，無論何時與審計人員共享日志，企業(yè)都可以提取結(jié)果作為合規(guī)性的證明。

(4)用戶管理和細(xì)粒度權(quán)限

特別注意哪些用戶可以特權(quán)訪問企業(yè)的云提供商帳戶，這對于降低安全漏洞的可能性大有幫助。這就是許多企業(yè)遵循最少特權(quán)原則的原因。云計算提供商提供了許多選項來創(chuàng)建權(quán)限受限的用戶帳戶，以滿足這一原則。例如，Azure AD(Azure的身份和訪問管理服務(wù))允許在單個云計算服務(wù)級別配置用戶權(quán)限，甚至經(jīng)常在該服務(wù)中的單個條目級別配置用戶權(quán)限。

主要的云計算提供商還提供了創(chuàng)建只使用API的用戶的可能性，或者甚至在企業(yè)的基礎(chǔ)設(shè)施中讓虛擬機承擔(dān)特定的用戶角色，而不需要為它創(chuàng)建任何憑證。

云計算提供商在安全性和合規(guī)性方面有很多優(yōu)勢，但也面臨一些問題和挑戰(zhàn)。

云計算提供商不只是為企業(yè)解決合規(guī)問題

云計算提供商提供的云計算服務(wù)實現(xiàn)了許多功能，使企業(yè)更容易實現(xiàn)合規(guī)性。但企業(yè)和個人仍然需要確定需要使用什么來滿足合規(guī)性要求。實現(xiàn)和保持合規(guī)性的過程需要包括獲得合格的建議、實施所需的控制以及長期的監(jiān)控控制。云計算提供商的功能只會減少完成這些步驟的難度。

需要注意的是，在尋求SOC 2等安全認(rèn)證時，并沒有針對云計算服務(wù)客戶的特殊快速通道版本。企業(yè)仍然需要提供其使用的安全實踐的證據(jù)，無論是在內(nèi)部部署還是通過云平臺。企業(yè)將需要查找IaaS提供商的安全認(rèn)證，請求支持文檔，并將其提供給審核人員。審計的每一項要求都需要通過云計算提供商或企業(yè)直接提供的證據(jù)來滿足。

合規(guī)成本

進行合規(guī)性和安全認(rèn)證時的另一個考慮因素是成本。大多數(shù)企業(yè)沒有意識到云中一些與合規(guī)相關(guān)的服務(wù)成本會變得多么高昂。AWS GuardDuty是一種流行的服務(wù)，可用于收集和存儲事件日志，按事件定價。如果每天有數(shù)以百萬計的事件發(fā)送到GuardDuty，總成本可能會迅速增加。

增加合規(guī)成本復(fù)雜性的是，使用模式以及未來的成本往往難以通過按使用付費的合規(guī)服務(wù)進行估計。使用GuardDuty的相同示例，如果清楚每天將生成多少事件，就很容易理解未來的成本。但事件的數(shù)量很難預(yù)測，工程團隊可能需要數(shù)周時間才能對復(fù)雜的SaaS應(yīng)用程序的事件做出合理的估計。

鑒于潛在的無限成本影響，公有云中的合規(guī)性成為一項成本優(yōu)化工作。明智的企業(yè)會花費時間計算和預(yù)計成本，并估計各種安全風(fēng)險的可能性和影響。例如，金融服務(wù)公司的數(shù)據(jù)泄露可能對其業(yè)務(wù)造成毀滅性影響，因此此類公司可能愿意接受更高的合規(guī)成本。但是，對于安全風(fēng)險較低的企業(yè)來說，高額的合規(guī)費用可能并不合理。

值得注意的是，大多數(shù)云計算提供商提供了多種方式來實現(xiàn)合規(guī)性。例如，如果GuardDuty對企業(yè)的用例來說過于昂貴，則可以通過其他方法來滿足特定的合規(guī)性檢查。例如可以選擇通過腳本每周檢查所有系統(tǒng)，而不是主動事件監(jiān)控。企業(yè)還可以為低使用率的服務(wù)啟用某些監(jiān)控(因此不會為此支付太多費用)，但為應(yīng)用程序的高事務(wù)部分尋找其他選項。

遵循的最佳實踐

以下是有關(guān)云安全性的一些最佳實踐建議。

(1)審批工作流程

審批工作流程是一個正式的流程，用于監(jiān)控項目任務(wù),并確保它們滿足最后期限、滿足業(yè)務(wù)和產(chǎn)品要求，并且沒有錯誤。具有清晰基礎(chǔ)流程和相關(guān)審計日志的標(biāo)準(zhǔn)化審批工作流程往往更容易滿足合規(guī)性檢查。使用云計算技術(shù)實現(xiàn)審批工作流有很多便捷的方法，例如使用無服務(wù)器計算。

(2)第三方服務(wù)驗證

除了使用云提供商提供的工具之外，企業(yè)可能還會使用第三方軟件工具。其合規(guī)監(jiān)控流程應(yīng)包括驗證使用的第三方服務(wù)的安全控制和合規(guī)標(biāo)準(zhǔn)。

(3)自動化

雖然可以人工跟蹤合規(guī)性，但這樣做是不可持續(xù)的，尤其是對于擁有數(shù)千名客戶的SaaS應(yīng)用程序來說。因此建議使用軟件工具和自動化來監(jiān)控合規(guī)性，并在基礎(chǔ)設(shè)施中的某些內(nèi)容不再合規(guī)時創(chuàng)建警報。這使得該過程更快、更健壯。最重要的是，出于認(rèn)證目的，它還使審核變得更容易。

如何開始

要了解更多信息，需要了解SaaS用戶通信如何構(gòu)建安全性，然后是開發(fā)人員合規(guī)性指南以及如何正確獲取GDPR和客戶通信。