?作者 | Aman Kandola

譯者 | 布加迪

策劃 | 武穆

搭建自己的服務器需要大量的前期投入和日常維護。這就是為什么如今大多數技術公司使用基礎設施即服務（IaaS）來滿足自己對計算的需求。亞馬遜網絡服務（AWS）、谷歌云和微軟Azure等云提供商負責處理基礎設施任務，比如為公司配置新機器并使其保持最新狀態，它們的服務讓公司的團隊可以專注于為應用程序構建有價值的新功能。

基于云的公司經常需要確保自己的軟件在構建時已采用了保證安全的最佳實踐。合規標準和認證是表明公司的安全狀況并與客戶建立信任關系的一種有效方式。

本文著重介紹使用公共云提供商在應用程序的合規和安全方面帶來的好處，以及應該考慮的注意事項。

1.云提供商使安全和合規變得不那么費力

當公司使用云提供商的服務時，啟動虛擬機或監控其性能等工作會容易得多，因為對方已將所有硬件和功能落實到位。同樣，公司可以相信云提供商能滿足公司的安全要求，因為大多數主流云提供商已經投入資源來獲得和維護許多常見的安全認證，比如PCI DSS和SOC 2。

此外，云提供商的國際聲譽取決于它們以往在安全方面的表現。

除了整體信任因素外，由于所有面向合規的功能，使用云提供商可以讓公司更容易獲得和維護SOC 2或ISO/IEC 27001等安全認證。我們在下面云提供商的產品中介紹了一些此類功能的例子。

2.實現合規的內置功能

云提供商提供許多內置功能，幫助用戶遵守行業最佳實踐和法規。以AWS S3為例，公司可以為存儲在服務中的對象（文件和文件夾）創建專門的保留策略。可以進行配置，對對象刪除以及對象定期失效實行限制。這樣一來，比較容易在金融等領域滿足合規標準，這類領域要求客戶和業務數據的數據不能保留太久。

云提供商可以幫助公司簡化工作的另一個方面是維護，因為它們會自動更新操作系統和軟件包。以AWS Lambda為例，公司的代碼將在輕量級隔離環境中執行。AWS完全承擔維護底層主機的工作，那樣公司的技術運營團隊可以少擔心一項工作。

3.與合規監控工具集成

Vanta和Drata等合規工具與幾大云提供商集成，允許公司自動監控是否滿足合規標準。由于這些工具可以直接插入到云提供商API，因此它們能夠自動提取相關數據，并在配置有誤時發送警報。

4.內置審計日志和事件跟蹤

由于云提供商已經在公司的賬戶中收集審計日志并跟蹤事件，因此一些認證審計檢查變得更容易。以谷歌云存儲（Google Cloud Storage）為例，它直接提供了詳細程度不一的多個日志記錄選項。在云服務中創建日志收集機制很簡單。因此，每當需要與審計員共享日志時，公司都可以提取結果作為合規證明。

5.用戶管理和細粒度權限

允許哪些用戶獲得公司云提供商賬戶的特權訪問須格外小心，這對于降低安全漏洞的可能性大有幫助。這就是為什么許多公司遵循最小特權原則。云提供商提供了許多選項來創建權限受限制的用戶賬戶，以滿足這個原則。

比如，Azure的身份和訪問管理服務Azure AD允許在單個云服務級別配置用戶權限，甚至經常在該服務中的單個項目級別配置用戶權限。

幾大云提供商還提供了這種可能性：創建純API用戶，甚至可以讓公司的基礎設施中的虛擬機承擔特定的用戶角色，無需為其創建任何憑證。

到目前為止，我們一直在談論云提供商在安全和合規方面的優勢。但是有幾個重要的方面要注意，下一節將會重點介紹。

6.云提供商不“僅僅”為公司解決合規問題

云提供商實施了許多功能，使公司更容易實現合規。但仍然需要公司和各開發團隊確定自己需要使用什么來滿足合規要求。實現和保持合規的過程需要包括：獲得合格的建議、實施所需的控制措施以及長期監控措施。云提供商的功能只是讓用戶完成這些步驟變得不那么費力。

請注意，說到實現SOC2等安全認證，云服務客戶沒有特別的捷徑而言。公司仍然需要提供證據，以表明自己確實在采用安全實踐——無論在內部還是通過云提供商。公司需要核查IaaS提供商的安全認證，請求支持性文檔，并提供給審計人員。每一項審計要求都需要通過云提供商提供的證據或公司直接提供的證據來予以滿足。不能有任何漏網之魚。

7.合規成本 

實現合規和安全認證時要考慮的另一個因素是成本。大多數公司沒有意識到在云端，一些與合規相關的服務有多貴。AWS GuardDuty是一種流行的服務，可用于收集和存儲事件日志，按事件數量定價。如果每天向GuardDuty發送數百萬個事件，總成本會迅速增加。

讓成本變得更復雜性的是，采用按使用付費的合規服務通常難以估計使用模式以及未來的成本。同樣以GuardDuty為例，如果公司清楚每天將生成多少事件，很容易了解未來的成本。但事件的數量很難預測，技術團隊可能需要數周時間才能對復雜SaaS應用程序的事件做出合理的估計。

鑒于成本可能沒有上限，公共云的合規成了一項成本優化工作。精明的公司會花時間來計算預計成本，并估計各種安全風險的可能性和影響。比如，金融服務公司的數據泄露可能對其業務造成毀滅性影響，因此這類公司可能愿意接受更高的合規成本。不過，對于安全風險較低的企業來說，高昂的合規費用可能不合理。

值得一提的是，大多數云提供商提供了多種方式來實現合規。比如，如果GuardDuty對企業的使用場景來說過于昂貴，可以通過其他途徑來滿足特定的合規檢查。比如，公司可以選擇通過腳本每周檢查所有系統，而不是實行事件主動監控。公司還可以為低使用率的服務啟用某些監控（因此不會為此支付太高的費用），但為應用程序的高事務部分尋找其他選項。

8.應遵循的最佳實踐

以下是確保云安全方面遵循最佳實踐的幾個建議。

（1）審批工作流程

審批工作流是一個正式的流程，用于監控項目任務，并確保它們在最后期限內完成、滿足業務和產品要求，并且沒有錯誤。具有清晰底層流程和相關審計日志的標準化審批工作流往往更容易滿足合規檢查。使用云技術實施審批工作流有很多便捷的方法，比如使用無服務器計算。

（2）驗證第三方服務

除了使用云提供商外，公司可能還會使用第三方軟件工具。公司的合規監控流程應包括驗證自己使用的第三方服務的安全控制措施和合規標準。想不想看看擁有合規認證如何使客戶更容易完成這部分工作？

（3）自動化

雖然可以手動跟蹤合規，但這么做不具有可持續性，尤其是對于擁有數千名客戶的SaaS應用程序而言。我們建議使用軟件工具和自動化來監控合規，并在公司基礎設施的某個方面不再合規時創建警報。這使得該過程更快速、更穩健。對認證而言最重要的是這使審計變得更容易。

原文鏈接：https://dzone.com/articles/security-and-compliance-considerations-for-the-pub-1?