企业设置自己的服务器需要大量的前期投资和持续的维护,这就是当今大多数科技公司使用IaaS提供商来满足他们的计算需求的原因。像AWS、谷歌云和Microsoft Azure这样的云计算提供商负责基础设施的运营和安全,例如提供新的服务器,并为用户保持其最新运行状态,他们提供的服务使用户的开发团队能够腾出时间,专注于为其应用程序构建有价值的新功能。
本文将介绍开发人员在为他们的应用程序进行安全性和合规性分类时需要考虑的事项。业务基于云计算的企业经常需要证明他们的软件是按照安全最佳实践来设置的,而合规标准和认证是了解企业安全状况和与客户建立信任的有效方式。
以下将重点讨论使用公有云提供商的应用程序在合规性和安全性方面带来的好处,以及企业应该考虑的注意事项。
云计算提供商使安全和合规性变得更容易
当企业使用云计算服务时,像启动虚拟机或监视其性能这样的过程会容易得多,因为所有的硬件和功能都已经提供。同样,企业可以信任他们提供的安全功能,因为大多数主流云计算提供商已经投入了资源来获得和维护许多常见的安全认证,例如PCI DSS和SOC 2。此外,任何一家云计算提供商的全球声誉都取决于他们的安全记录。
除了整体的信任因素之外,由于所有面向合规性的功能,使用云计算提供商提供的服务使企业更容易获得和维护安全认证,如SOC2或ISO/IEC27001。以下介绍云计算提供商提供的一些此类功能的示例。
(1)支持合规性的内置功能
云计算提供商提供了许多内置功能,以帮助企业遵守行业最佳实践和规则。例如,使用AWS S3存储桶,可以为存储在服务中的对象(文件和文件夹)创建专门的保留策略。企业可以配置对象删除的限制,以及定义过期对象。这使得在金融等领域更容易满足合规性标准。
云计算提供商可以使企业的生活更轻松的另一个领域是维护,因为他们自动更新操作系统和包。例如使用AWS Lambda,企业的代码将在轻量级的隔离环境中执行。AWS云平台完全承担了底层主机的维护工作。这为企业的技术运营团队减少了一件需要担心的事情。
(2)与合规性监控工具的集成
像Vanta和Drata这样的合规工具与主要的云计算提供商的云计算服务集成,并允许企业自动监控是否符合合规标准。因为这些工具可以直接插入到云提供商API中,因此它们能够自动提取相关数据,并在配置错误时发送警报。
(3)内置审计日志和事件跟踪
由于云计算提供商已经在企业的帐户中收集了审计日志和跟踪事件,因此对认证的某些审计检查变得更容易。例如,对于谷歌云存储,具有不同数量的详细信息的多个日志记录选项是开箱即用的。在云计算服务中设置日志集合非常简单。因此,无论何时与审计人员共享日志,企业都可以提取结果作为合规性的证明。
(4)用户管理和细粒度权限
特别注意哪些用户可以特权访问企业的云提供商帐户,这对于降低安全漏洞的可能性大有帮助。这就是许多企业遵循最少特权原则的原因。云计算提供商提供了许多选项来创建权限受限的用户帐户,以满足这一原则。例如,Azure AD(Azure的身份和访问管理服务)允许在单个云计算服务级别配置用户权限,甚至经常在该服务中的单个条目级别配置用户权限。
主要的云计算提供商还提供了创建只使用API的用户的可能性,或者甚至在企业的基础设施中让虚拟机承担特定的用户角色,而不需要为它创建任何凭证。
云计算提供商在安全性和合规性方面有很多优势,但也面临一些问题和挑战。
云计算提供商不只是为企业解决合规问题
云计算提供商提供的云计算服务实现了许多功能,使企业更容易实现合规性。但企业和个人仍然需要确定需要使用什么来满足合规性要求。实现和保持合规性的过程需要包括获得合格的建议、实施所需的控制以及长期的监控控制。云计算提供商的功能只会减少完成这些步骤的难度。
需要注意的是,在寻求SOC 2等安全认证时,并没有针对云计算服务客户的特殊快速通道版本。企业仍然需要提供其使用的安全实践的证据,无论是在内部部署还是通过云平台。企业将需要查找IaaS提供商的安全认证,请求支持文档,并将其提供给审核人员。审计的每一项要求都需要通过云计算提供商或企业直接提供的证据来满足。
合规成本
进行合规性和安全认证时的另一个考虑因素是成本。大多数企业没有意识到云中一些与合规相关的服务成本会变得多么高昂。AWS GuardDuty是一种流行的服务,可用于收集和存储事件日志,按事件定价。如果每天有数以百万计的事件发送到GuardDuty,总成本可能会迅速增加。
增加合规成本复杂性的是,使用模式以及未来的成本往往难以通过按使用付费的合规服务进行估计。使用GuardDuty的相同示例,如果清楚每天将生成多少事件,就很容易理解未来的成本。但事件的数量很难预测,工程团队可能需要数周时间才能对复杂的SaaS应用程序的事件做出合理的估计。
鉴于潜在的无限成本影响,公有云中的合规性成为一项成本优化工作。明智的企业会花费时间计算和预计成本,并估计各种安全风险的可能性和影响。例如,金融服务公司的数据泄露可能对其业务造成毁灭性影响,因此此类公司可能愿意接受更高的合规成本。但是,对于安全风险较低的企业来说,高额的合规费用可能并不合理。
值得注意的是,大多数云计算提供商提供了多种方式来实现合规性。例如,如果GuardDuty对企业的用例来说过于昂贵,则可以通过其他方法来满足特定的合规性检查。例如可以选择通过脚本每周检查所有系统,而不是主动事件监控。企业还可以为低使用率的服务启用某些监控(因此不会为此支付太多费用),但为应用程序的高事务部分寻找其他选项。
遵循的最佳实践
以下是有关云安全性的一些最佳实践建议。
(1)审批工作流程
审批工作流程是一个正式的流程,用于监控项目任务,并确保它们满足最后期限、满足业务和产品要求,并且没有错误。具有清晰基础流程和相关审计日志的标准化审批工作流程往往更容易满足合规性检查。使用云计算技术实现审批工作流有很多便捷的方法,例如使用无服务器计算。
(2)第三方服务验证
除了使用云提供商提供的工具之外,企业可能还会使用第三方软件工具。其合规监控流程应包括验证使用的第三方服务的安全控制和合规标准。
(3)自动化
虽然可以人工跟踪合规性,但这样做是不可持续的,尤其是对于拥有数千名客户的SaaS应用程序来说。因此建议使用软件工具和自动化来监控合规性,并在基础设施中的某些内容不再合规时创建警报。这使得该过程更快、更健壮。最重要的是,出于认证目的,它还使审核变得更容易。
如何开始
要了解更多信息,需要了解SaaS用户通信如何构建安全性,然后是开发人员合规性指南以及如何正确获取GDPR和客户通信。