合规性需求因云类型的不同而各异

  • 来源:中研网
  •  2014-10-20
  •   浏览 753 次

如果公司的应用程序位于内部服务器,那么,公司只负责满足法规遵从需求。公司的业务将应用程序和数据移动到云,但是,这并没有改变所有的合规性责任。合规性责任不能回避,这就是为什么必须要对云提供商和应用程序所有者的法规遵从需求有全面的了解。

公司可以利用外部部署的IT功能,满足法规遵从需求,而且可以省去很多麻烦。然而,只有当公司尽职调查,对所有云服务提供商(CSP)进行审查,然后做出 明智选择时,才会产生合规性的问题。如果不进行调查,符合合规性的责任简直是一场噩梦。公司不采用公共云的一个主要原因是还要应对法规遵从问题。

将法规遵从的责任进行分解

所有的合规性标准,包括巨大的安全需求、信息机密性、完整性、可用性、身份验证、审计和日志记录和变更管理。针对法规而言,如2002年的萨班斯-奥克斯利法案(SOX), 2004年的支付卡行业(PCI),以及联邦风险和授权管理程序(FedRAMP)。

云的法规遵从,可以分解为几个关键领域,包括数据隐私、信息安全、各种政府的法规,特定行业的法规(HIPAA、PCI等)等等。对于法规而言,一些法规要求很重要,但在某些方面,对许多已经制定的合规性法规标准来说,采取必要的行动是共同的。

合规性被视为云广泛采用的一大障碍,确实如此。

保密性:信息必须保密,防止未经授权的用户访问信息。

完整性:记录禁止被未经授权的个人或实体修改。

可用性:系统需要设计,从而能够妥善处理错误,抵抗拒绝服务攻击。

验证:信息只提供给经过授权的个人,抵抗拒绝服务攻击。

审计和日志:软件系统必须生成所有必要的日志信息,构建一个清晰的审查跟踪,能够显示用户或实体是如何访问并使用资源的。

变更管理:变更管理在合规性中起着重要的作用,从审计的角度和操作上,再到能确保所有的变更满足政策和相关法规的规定。

合规性需求因云类型的不同而各异

法规遵从产生的影响,外部部署云计算责任的分担,主要受控于云中信息的类型和选择的服务模型类型 (公众IaaS、公共PaaS,或者公共SaaS)。当我们专注于IT组织移动到公共IaaS时,应当关注云服务提供商与关于云服务模型公司之间的合规性 责任(CSP)。当客户从SaaS移动到IaaS服务模型时,云服务模型责任的水平通常转向客户。

1、公共基础设施即服务

公司控制数据和应用程序

公司共享控制虚拟服务器

CSP控制物理服务器、存储和网络

2、公共平台即服务

公司控制数据

公司共享控制应用程序和虚拟服务器

CSP控制物理服务器、存储和网络

3、公共软件即服务

公司共享控制数据

CSP控制应用程序,虚拟服务器,物理服务器,存储和网络

清楚地了解共享合规性的责任

关于公众基础设施即服务模型,CSP能够减轻客户的操作负担,操作、管理和控制组件,从主机操作系统和虚拟化层乃至CSP设备的物理安全。公司负责数据、 应用程序、解决方案堆栈、客户操作系统、杀毒软件、防火墙、数据加密、应用程序安全性、变更管理等。公司分配所需的虚拟服务器和虚拟资源。这与内部模型非 常类似,除了CSP,CSP控制着物理服务器、存储、网络、数据存储在CSP,并且CSP控制着CSP安装的物理安全。

如果公司正将一部分IT功能移动到CSP,那么,公司需要完全理解可见性,可见性使公司能够观察到直接控制之外的合规性管理责任和工作。在与CSP签署任 何类型的协议之前,公司应该检查CSP,确保所选择的CSP能够满足公司的安全性和操作的需要,如PCI DSS合规性验证。

公司应该了解其使用 CSP的权利,从而确定CSP如何提供持续的保证,保证所需的控制已到位。组织应该使用连续监测,从而能够观察到CSP提供哪些与法规和操作要求相关的服 务。公司客户的法规需求主要条款包含在合同中,很容易被忽视。因此,当与CSP进行谈判时,还应该考虑这些需求。

当与CSP分担责任时,公司必须应对以下一些问题:

安全责任的说明:公司将监管数据迁移到公共云环境,将不得不依赖CSP的一些合规性措施。围绕着云服务模型进行讨论,展示了想象中的安全保卫处是什么样的。

数据需求的地址位置:一些法规规定,敏感信息可以存储在哪里,不能存储在哪里。美国政府机构需要保证CSP不会在美国以外的设施内存储或管理信息。在其他情况下,公司可以要求将数据存储在特定国家边界的边界内。

防止内部威胁:公司不得不防止内部威胁,避免内部恶意的管理员,避免未经授权的其他虚拟服务器迁移到虚拟服务器。敏感数据不能存储在一个未经授权的服务器中。

安全策略的实施:公司和CSP必须亲自见证安全策略的实施。

不要忽视这些方面的问题

通常,云的法规需求,你需要担心的是:如果是在内部,那么你必须要谨慎。但是,还有其他你必须要注意的问题,这些问题可以通过这些问题得到解决:数据存储在哪里?我可以信任CSP使用我的数据吗?如果我急需使用数据,我可以快速得到数据吗?

CSP同时经过了法规认证,不会自动使公司符合法规。

合规性被视为云广泛采用的一大障碍,而且理所当然。合规性受控于法律和立法,因此,没有其它选择,只能服从。一些合规性需求都在CSP的控制之下。CSP 能够帮助公司实现合规性需求,缓解保持合规性的过程,但是,公司必须谨慎选择CSP。CSP如 AWS,主要提供一个平台,支持企业应用程序,使安全与合规性成为操作的一个核心组成部分。

内部IT组织和外部部署云环境的合规性责任,不应被视为是一次性的,而应当作为持续的管理和监控过程。源于使整体监管环境与流体技术环境保持平衡—即云。 法规要求在缓慢地发生变化,因此,IT组织需要做好准备将环境和技术之间分离开,旨在进一步规范化。这种分开会引起监管机构以及法规的高度关注,从而无法 应对新兴的挑战。


To Top