未能满足合规要求可能导致被行业团体开除、巨额罚款,最坏的情况是被起诉。合规性监控非常重要,无论是在本地还是在云端。
合规性监控涵盖从数据库到网络的各个领域,以及各种任务-从应用程序更新到事件响应。为了构建云合规监控策略,首先要了解影响你业务的法规或标准。然后,根据你的特定合规要求以及你所使用的云平台,部署监控做法和工具。
了解合规要求
每个行业都有法规要求,以及证书颁发机构和认证机构,政府机构也会颁布法规和标准。为了应对这些要求,公司的法律部门应该有一份合规标准清单。有些企业会有一名合规官,他们还可能有内部审计小组。
常见合规标准或法规包括GDPR、Sarbanes-Oxley法案、HIPAA和PCI DSS。
每个合规标准都有一组相关的程序,企业必须遵循,以及需要应用的保护措施。云合规性监控涉及收集和整理有关这些程序和保护措施的数据。
重点监控任务
云端合规监控包含多项任务,包括:
- 应用程序访问监控
- 数据库保护和监控
- 应用程序变更管理
- 事件管理和升级
- 网络监控和安全
- 日志监控和管理
一种常见的策略是利用云和网络监控工具收集的数据创建集中视图,以了解所有这些域的合规状态。这种方法非常适合当前的云和网络监控实践。
当你启动云合规性监控策略时,请划分上述任务。有些是设计时需要考虑的因素。在这种情况下,应用程序能否满足合规标准,取决于开发人员构建它的方式。其他是运行时考虑因素,这意味着应用程序需要在操作期间进行监视以验证合规性。企业为其云应用程序部署的特定工具和程序取决于合规性要求如何映射到这些类别。
企业应将设计时合规性标准强制实施到开发管道中,并通过日志记录和版本监控对其进行验证。前者需要一种系统的方式来启动、执行、审查、测试和部署云软件。团队必须确定执行和记录每个适用标准要求的工具。在应用程序设计和开发期间,开发人员应将事件或日志触发器插入代码中,以使合规性事件对监控工具可见。
针对软件安全和管道管理的工具,例如Veracode和Checkmarx,可帮助执行设计时合规性要求。而审计软件和数据实践的工具则是有用的补充,包括Momentum QMS、Synopsys的Black Duck和Gensuite。它们并不是针对特定的云平台。此外,控制用户帐户如何访问云应用程序和资源的合规性管理工具也可能很有用,例如Active Directory、LDAP和应用程序访问控制或零信任工具。
云团队可以使用IT日志和事件管理工具及做法来确认设计时合规性。例如,日志分析可以通过未经授权的访问检测记录备份是否完整或潜在的合规性违规。这里的目标是验证在应用程序设计期间建立的做法,确保其成功实施,并识别任何遗漏或不正确的做法。日志聚合、管理和监控工具包括来自Dynatrace、Sumo Logic、SolarWinds和很多其他公司的产品。
云合规监控工具
缺乏 IT 管理和监控工具的小型企业应该考虑结合监控和合规策略分析的工具。这些具有显着的易用性优势。但它们可能只支持某些标准和云平台。
如果一家公司的合规性要求仅限于通用标准,例如GDPR或HIPAA,那么很容易找到监控工具,从云托管应用程序收集数据并以标准、特定方式报告调查结果。有些工具是特定于云提供商,例如为 AWS 设计的Dash ComplyOps。其他工具,例如 Kion(以前称为 cloudtamer.io),提供广泛的合规性监控和映射功能,以及云管理功能。Kion支持特定的合规标准,以及通用监控-企业可以通过策略关联合规标准。
如果你找不到满足要求的云合规监控工具,则可同时使用多个云监控工具来收集适当的信息。安全监控通常是合规监控的组成部分。来自IT供应商(如SolarWinds和NetApp)的通用工具通常可以完成这项任务。云提供商的日志工具或集中式日志工具通常会提供超出安全合规性的合规性数据。云供应商的示例包括:亚马逊Centralized Logging服务中的Amazon CloudWatch日志或Azure Monitor的分析和管理功能。在这些情况下,企业可能需要手动过程来收集和解释收集的数据。
如果企业使用单一的云提供商,那么收集和分析合规性数据的步骤相当简单。在多云和某些混合云部署中,企业可能需要独立监控每个云部署,并通过离线分析工具关联数据。
云承诺会随着时间而改变。请记录用于选择工具和方法的所有流程和选择标准。