作者 | Aman Kandola
译者 | 布加迪
策划 | 武穆
搭建自己的服务器需要大量的前期投入和日常维护。这就是为什么如今大多数技术公司使用基础设施即服务(IaaS)来满足自己对计算的需求。亚马逊网络服务(AWS)、谷歌云和微软Azure等云提供商负责处理基础设施任务,比如为公司配置新机器并使其保持最新状态,它们的服务让公司的团队可以专注于为应用程序构建有价值的新功能。
基于云的公司经常需要确保自己的软件在构建时已采用了保证安全的最佳实践。合规标准和认证是表明公司的安全状况并与客户建立信任关系的一种有效方式。
本文着重介绍使用公共云提供商在应用程序的合规和安全方面带来的好处,以及应该考虑的注意事项。
1.云提供商使安全和合规变得不那么费力
当公司使用云提供商的服务时,启动虚拟机或监控其性能等工作会容易得多,因为对方已将所有硬件和功能落实到位。同样,公司可以相信云提供商能满足公司的安全要求,因为大多数主流云提供商已经投入资源来获得和维护许多常见的安全认证,比如PCI DSS和SOC 2。
此外,云提供商的国际声誉取决于它们以往在安全方面的表现。
除了整体信任因素外,由于所有面向合规的功能,使用云提供商可以让公司更容易获得和维护SOC 2或ISO/IEC 27001等安全认证。我们在下面云提供商的产品中介绍了一些此类功能的例子。
2.实现合规的内置功能
云提供商提供许多内置功能,帮助用户遵守行业最佳实践和法规。以AWS S3为例,公司可以为存储在服务中的对象(文件和文件夹)创建专门的保留策略。可以进行配置,对对象删除以及对象定期失效实行限制。这样一来,比较容易在金融等领域满足合规标准,这类领域要求客户和业务数据的数据不能保留太久。
云提供商可以帮助公司简化工作的另一个方面是维护,因为它们会自动更新操作系统和软件包。以AWS Lambda为例,公司的代码将在轻量级隔离环境中执行。AWS完全承担维护底层主机的工作,那样公司的技术运营团队可以少担心一项工作。
3.与合规监控工具集成
Vanta和Drata等合规工具与几大云提供商集成,允许公司自动监控是否满足合规标准。由于这些工具可以直接插入到云提供商API,因此它们能够自动提取相关数据,并在配置有误时发送警报。
4.内置审计日志和事件跟踪
由于云提供商已经在公司的账户中收集审计日志并跟踪事件,因此一些认证审计检查变得更容易。以谷歌云存储(Google Cloud Storage)为例,它直接提供了详细程度不一的多个日志记录选项。在云服务中创建日志收集机制很简单。因此,每当需要与审计员共享日志时,公司都可以提取结果作为合规证明。
5.用户管理和细粒度权限
允许哪些用户获得公司云提供商账户的特权访问须格外小心,这对于降低安全漏洞的可能性大有帮助。这就是为什么许多公司遵循最小特权原则。云提供商提供了许多选项来创建权限受限制的用户账户,以满足这个原则。
比如,Azure的身份和访问管理服务Azure AD允许在单个云服务级别配置用户权限,甚至经常在该服务中的单个项目级别配置用户权限。
几大云提供商还提供了这种可能性:创建纯API用户,甚至可以让公司的基础设施中的虚拟机承担特定的用户角色,无需为其创建任何凭证。
到目前为止,我们一直在谈论云提供商在安全和合规方面的优势。但是有几个重要的方面要注意,下一节将会重点介绍。
6.云提供商不“仅仅”为公司解决合规问题
云提供商实施了许多功能,使公司更容易实现合规。但仍然需要公司和各开发团队确定自己需要使用什么来满足合规要求。实现和保持合规的过程需要包括:获得合格的建议、实施所需的控制措施以及长期监控措施。云提供商的功能只是让用户完成这些步骤变得不那么费力。
请注意,说到实现SOC2等安全认证,云服务客户没有特别的捷径而言。公司仍然需要提供证据,以表明自己确实在采用安全实践——无论在内部还是通过云提供商。公司需要核查IaaS提供商的安全认证,请求支持性文档,并提供给审计人员。每一项审计要求都需要通过云提供商提供的证据或公司直接提供的证据来予以满足。不能有任何漏网之鱼。
7.合规成本
实现合规和安全认证时要考虑的另一个因素是成本。大多数公司没有意识到在云端,一些与合规相关的服务有多贵。AWS GuardDuty是一种流行的服务,可用于收集和存储事件日志,按事件数量定价。如果每天向GuardDuty发送数百万个事件,总成本会迅速增加。
让成本变得更复杂性的是,采用按使用付费的合规服务通常难以估计使用模式以及未来的成本。同样以GuardDuty为例,如果公司清楚每天将生成多少事件,很容易了解未来的成本。但事件的数量很难预测,技术团队可能需要数周时间才能对复杂SaaS应用程序的事件做出合理的估计。
鉴于成本可能没有上限,公共云的合规成了一项成本优化工作。精明的公司会花时间来计算预计成本,并估计各种安全风险的可能性和影响。比如,金融服务公司的数据泄露可能对其业务造成毁灭性影响,因此这类公司可能愿意接受更高的合规成本。不过,对于安全风险较低的企业来说,高昂的合规费用可能不合理。
值得一提的是,大多数云提供商提供了多种方式来实现合规。比如,如果GuardDuty对企业的使用场景来说过于昂贵,可以通过其他途径来满足特定的合规检查。比如,公司可以选择通过脚本每周检查所有系统,而不是实行事件主动监控。公司还可以为低使用率的服务启用某些监控(因此不会为此支付太高的费用),但为应用程序的高事务部分寻找其他选项。
8.应遵循的最佳实践
以下是确保云安全方面遵循最佳实践的几个建议。
(1)审批工作流程
审批工作流是一个正式的流程,用于监控项目任务,并确保它们在最后期限内完成、满足业务和产品要求,并且没有错误。具有清晰底层流程和相关审计日志的标准化审批工作流往往更容易满足合规检查。使用云技术实施审批工作流有很多便捷的方法,比如使用无服务器计算。
(2)验证第三方服务
除了使用云提供商外,公司可能还会使用第三方软件工具。公司的合规监控流程应包括验证自己使用的第三方服务的安全控制措施和合规标准。想不想看看拥有合规认证如何使客户更容易完成这部分工作?
(3)自动化
虽然可以手动跟踪合规,但这么做不具有可持续性,尤其是对于拥有数千名客户的SaaS应用程序而言。我们建议使用软件工具和自动化来监控合规,并在公司基础设施的某个方面不再合规时创建警报。这使得该过程更快速、更稳健。对认证而言最重要的是这使审计变得更容易。
原文链接:https://dzone.com/articles/security-and-compliance-considerations-for-the-pub-1