云计算的合规性可以确保云计算服务满足用户的合规性要求。但是,采用云计算服务的企业不应假设每个云计算公司都能满足其独特需求,因为他们提供的与合规性相关的服务产品各不相同。
数据传输、存储、备份、检索和访问需要符合云计算合规性。虽然IT部门往往负责实施合规性,但可能(也可能应该)涉及其他职能部门。这种参与包括决策、监控、审计、治理、安全、数据保护、风险管理,以及法律。
合规性是一个非常严肃的话题,应该得到深入的理解,因为合规性失败可能导致监管罚款、诉讼、网络安全事件,以及声誉损害。因此,了解云计算提供商提供的服务和企业要求的详细信息非常重要。
本文概述了云计算合规性的注意事项,并列出了全球三大主要云计算服务提供商Amazon Web Services、Microsoft Azure、Google Cloud中常见的一些服务。有兴趣采购云合规服务的组织应访问相应服务提供商的网站以获取最新信息。
云计算合规性问题包括客户合规性和服务合规性管理。
云计算合规性:关键考虑因素
当人们考虑云计算合规性时出现的首要问题之一是用户不用管理自己的基础设施。
如果出现问题,企业将外包作为防御措施是行不通的。实际上,包括AWS和Microsoft Azure在内的云计算提供商强调了云计算合规性是双重责任这一事实。虽然他们对用户有一定的合同责任,但用户必须注意自己的最佳利益。这包括为用户的要求选择正确的服务,正确处理用户控制的配置等。
确保云计算合规性的其他一些考虑因素包括:
- 数据。确定在云平台中存储的内容以及原因。
- 数据位置。审核员可能会询问数据的位置,但云计算服务提供商可能不会透露该信息。
- 资产管理。云计算服务提供商负责管理其基础设施资产,企业负责管理自己的资产,包括托管的操作系统和应用程序。
- 系统和数据访问控制。合规性往往涉及数据安全性。企业应该了解哪些人可以采用其云计算服务提供商(包括第三方承包商)的服务,并访问哪些内容。
- 配置管理。例如,如果企业错误配置AWS S3存储桶,则由自行承担错误。
- 数据加密。保持合规性通常意味着在静止和运动中加密数据以保护它。
- 共享或私有资源。根据企业的特定合规性要求,可能需要云计算服务提供商的数据中心中的私有数据中心套件。
- 服务水平协议(SLA)。适用于企业的法律和法规可能有服务级别协议要求。这可能会限制其可以使用的服务类型。
- 数据保护。了解云计算提供商保护企业的信息的程度非常重要。
- 合规性认证和法律认可的替代品。并非所有云计算合规性服务都能够通过认证。如果由于某种原因无法进行认证,云计算提供商可能会找到一种符合标准的方法,例如遵守更严格的标准。
- 审计。了解哪些第三方审核云计算合规性并阅读报告。还要了解企业是否有权审核云合规性。
- 事件响应。了解潜在事件的范围以及如果出现这些类型的事件(例如,接收警报和响应速度),应采取何种类型的事件响应。
- 电子发现功能。这是一个法律问题,而不是监管问题。如果企业发现自己处于任何类型的诉讼中,将需要快速访问所请求的数据,并且只访问所请求的数据。
- 安全要求。企业应该了解通常选择正确的云计算服务所需的安全形式。出于合规性目的,需要了解法律或法规要求的安全级别。
- 灾难恢复。发生电力中断。适用于企业的法律和法规可能具有特定的灾难恢复要求。
- 尽职调查。了解如何处理定期尽职调查。
- 信息资源。云计算服务提供商提供的信息资源差别很大。提供大量信息的那些可以帮助用户从一开始就成功实现云计算合规性。
- 合规报告。了解用户可以访问和阅读的合规报告的范围。
云计算合规服务提供商可能涵盖的内容
不同的云计算服务提供商以不同方式呈现其云计算合规性服务。一些提供商使用列表而其他提供商使用网格。有些人将事情分类,而有些人则没有。
例如,AWS公司有三个列表涵盖认证/证明、法律/法规/隐私、路线/框架。微软公司和谷歌公司更喜欢采用用户体验元素。此外,微软公司还将其合规服务分为全球、政府、行业和地区。
由于信息的呈现因服务提供商而异,因此用户应仔细审查产品。在合规性方面,假设是危险的,因此IT部门应与上述其他职能部门合作,以确保合规的覆盖范围。
全球三大云计算提供商共有的云计算合规性资源包括:
- 欧洲的云计算互联网服务提供商(CISPE)——这是一家促进高级别安全和数据保护的非营利组织。
- 明确合法的海外使用数据法(云计算法案)——即2018年颁布的美国联邦法律。
- 互联网安全中心(CIS)基准——防止网络攻击的配置指南。
- 刑事司法信息服务(CJIS)——由执法部门、国家安全部门、情报部门针对云计算技术提出的一套建议。
- 云计算安全联盟(CSA)——最佳实践。
- 英国国家网络安全中心——颁发的网络基础设施及认证机构
- 1974年“家庭教育权利和隐私法”(FERPA)——美国联邦政府颁布的一条法律,管理公共实体(包括潜在雇主、公共资助教育机构、政府部门)获取教育信息和记录。
- 欧盟-美国隐私保护——数据保护框架。
- 美国联邦风险和授权管理计划(FedRAMP)——安全标准认证
- 美国联邦信息处理标准(FIPS)——用于批准加密模块的美国政府计算机安全标准。
- 欧盟通用数据保护法规(GDPR)——欧盟的隐私保护替代品,于2018年生效。
- G-Cloud——简化英国政府实体采购技术产品和服务的框架。
- 健康保险流通与会计法案(HIPAA)——保护云计算系统中健康信息的指南。
- ISO 9001——质量管理体系(QMS)的国际标准
- ISO 27001——一种国际标准,规定了在组织范围内建立、实施、维护、持续改进信息安全管理系统的要求。
- ISO 27017——一种国际标准,为适用于提供和使用云计算服务的信息安全控制提供指导。
- 多层云战略(MTCS SS584)——新加坡的健全风险管理和安全实践标准、透明度和问责制。
- 美国电影协会(MPAA)——内容安全的最佳实践。
- 号码法案——2016年颁布的日本12位个人识别号码系统。
- 美国国家标准与技术研究院(NIST)800-53 ——美国联邦信息系统的安全和隐私控制目录。
- 支付卡行业数据安全标准(PCI DSS)——包含存储、处理或传输支付卡持卡人数据的任何企业的12项要求的标准。
- 美国证券交易委员会(SEC)第17-a条——经纪人-交易商数据保存规则。
- 系统和组织控制(SOC)1 ——服务组织控制的报告,可能与用户实体对财务报告的内部控制相关。
- 系统和组织控制(SOC)2——评估组织与安全性、可用性、处理完整性、机密性或隐私相关的信息系统的报告。
- 系统和组织控制(SOC)3——与SOC 2不同的报告,没有详细说明所执行的测试,并且旨在用作营销材料。