組織需要深入了解頂級(jí)云計(jì)算合規(guī)性工具，這些工具可幫助其實(shí)現(xiàn)法規(guī)遵從性，并實(shí)施行業(yè)最佳實(shí)踐。遷移到云計(jì)算可以減輕組織的基礎(chǔ)設(shè)施管理問題，但這并不能免除企業(yè)確保云計(jì)算合規(guī)性的責(zé)任。實(shí)際上，云計(jì)算合規(guī)性和治理在云計(jì)算和數(shù)據(jù)中心中仍然至關(guān)重要。

[[272232]]

組織需要深入了解頂級(jí)云計(jì)算合規(guī)性工具，這些工具可幫助其實(shí)現(xiàn)法規(guī)遵從性，并實(shí)施行業(yè)最佳實(shí)踐。

遷移到云計(jì)算可以減輕組織的基礎(chǔ)設(shè)施管理問題，但這并不能免除企業(yè)確保云計(jì)算合規(guī)性的責(zé)任。實(shí)際上，云計(jì)算合規(guī)性和治理在云計(jì)算和數(shù)據(jù)中心中仍然至關(guān)重要。

云計(jì)算中的合規(guī)性是一個(gè)多方面的問題。組織的云計(jì)算基礎(chǔ)設(shè)施需要實(shí)現(xiàn)合規(guī)性，以及云計(jì)算廠商需要具備提供滿足各種需求的服務(wù)的能力。而且，組織需要管理自己對(duì)云計(jì)算資源的使用以及數(shù)據(jù)使用，以維護(hù)合規(guī)性和行業(yè)最佳實(shí)踐。

例如，公共云提供商可以使其平臺(tái)認(rèn)證合規(guī)，以用于需要滿足支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)的組織。

目前有多種工具和服務(wù)可以幫助企業(yè)滿足并保持合規(guī)性。有些工具與云計(jì)算工作負(fù)載保護(hù)平臺(tái)管理重疊，而其他工具則專門針對(duì)合規(guī)性而專門構(gòu)建。每個(gè)頂級(jí)公共云供應(yīng)商(AWS、Microsoft Azure、Google Cloud和IBM Cloud)都提供了可用于組織監(jiān)控合規(guī)性工作的工具。

如何選擇云計(jì)算合規(guī)性工具

在選擇云計(jì)算合規(guī)性工具時(shí)，組織需要考慮許多關(guān)鍵標(biāo)準(zhǔn)。雖然某種工具可能是一家公司的理想選擇，但它可能不適用于另一家公司，具體取決于對(duì)某些功能的需求。

作為云計(jì)算項(xiàng)目管理決策的一部分，有許多關(guān)鍵考慮因素需要評(píng)估：

·合規(guī)范圍。有許多不同的合規(guī)性規(guī)范，確定組織需要涵蓋哪些合規(guī)性，并確保選擇符合這些法規(guī)的解決方案非常重要。其中最常見的是PCI-DSS、健康保險(xiǎn)流通與責(zé)任法案(HIPAA)和通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)。

·內(nèi)部集成。許多組織都擁有云計(jì)算和內(nèi)部部署資產(chǎn)，也就是真正的混合云，因此需要管理以實(shí)現(xiàn)合規(guī)性。如果企業(yè)有兩種類型的環(huán)境，需要考慮可以處理內(nèi)部部署和云計(jì)算IT資產(chǎn)的解決方案。

·綜合安全。有些工具是獨(dú)立的合規(guī)解決方案，而其他工具則直接將安全性集成到云工作負(fù)載管理中，如果企業(yè)尚未采用云計(jì)算安全控制，需要考慮具有集成安全性的解決方案。

·報(bào)告功能。無論好壞，都要報(bào)告任何合規(guī)制度的核心要素。在評(píng)估不同工具時(shí)，需要查找審核員要求的報(bào)告功能。

在Datamation公司提供的頂級(jí)公司列表中，重點(diǎn)介紹了提供頂級(jí)云計(jì)算合規(guī)工具的供應(yīng)商

1.Cavirin

潛在買家的價(jià)值主張。除了合規(guī)性之外，Cavirin公司對(duì)于希望更好地了解其整體風(fēng)險(xiǎn)和網(wǎng)絡(luò)態(tài)勢(shì)的組織來說是一個(gè)很好的選擇。

關(guān)鍵價(jià)值/差異化因素：

•針對(duì)多個(gè)安全框架(包括NIST)和指南(包括PCI-DSS、HIPAA和GDPR)的集成合規(guī)性映射。

•可以幫助識(shí)別云計(jì)算和本地部署中的潛在漏洞區(qū)域。

•Cavirin公司更獨(dú)特的關(guān)鍵功能之一是該平臺(tái)的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)分，它提供了IT資產(chǎn)的高級(jí)概述以及所有內(nèi)容的安全性。

•該平臺(tái)還可以與開發(fā)和DevOps工作流程集成，以幫助確保在開發(fā)應(yīng)用程序時(shí)完成合規(guī)性。

2.Checkpoint CloudGuard Dome9

潛在買家的價(jià)值主張。CloudGuard Dome9是希望確保云計(jì)算工作負(fù)載安全，并實(shí)現(xiàn)合規(guī)性的組織的理想選擇。對(duì)于那些已經(jīng)使用CheckPoint更廣泛產(chǎn)品組合的其他部分的人來說，這也是一個(gè)明顯的選擇。在這種情況下，互操作性會(huì)很強(qiáng)。

關(guān)鍵價(jià)值/差異化因素：

•CheckPoint于2018年10月以1.75億美元收購了Dome9 Arc平臺(tái)，此后更名為CheckPoint CloudGuard Dome9。

•組織的一個(gè)主要優(yōu)勢(shì)是實(shí)時(shí)了解云計(jì)算資產(chǎn)合規(guī)性以及與行業(yè)最佳實(shí)踐保持一致。

•平臺(tái)的主要區(qū)別之一是身份和訪問管理(IAM)集成，可用于幫助保護(hù)工作負(fù)載，并在需要時(shí)為特定工作負(fù)載提供及時(shí)的權(quán)限提升。

•補(bǔ)救是另一個(gè)核心要素，可幫助企業(yè)修復(fù)差距和錯(cuò)誤配置以實(shí)現(xiàn)合規(guī)性。

•啟用合規(guī)性報(bào)告，并提供可提供給審核員的可打印狀態(tài)報(bào)告。

3.Lacework

潛在買家的價(jià)值主張。對(duì)于關(guān)注多個(gè)云平臺(tái)的合規(guī)性以及檢測(cè)潛在的異常值和惡意項(xiàng)目的組織，Lacework是一個(gè)很好的選擇。

關(guān)鍵價(jià)值/差異化因素：

•除了合規(guī)性之外，Lacework的關(guān)鍵區(qū)別在于其Polygraph功能，它可以直觀地表示云計(jì)算工作負(fù)載、API和賬戶角色之間的關(guān)系，以提供適當(dāng)?shù)膱?chǎng)景。

•在合規(guī)性方面，Lacework可以監(jiān)控云工作負(fù)載，以實(shí)現(xiàn)互聯(lián)網(wǎng)安全中心(CIS)云計(jì)算基準(zhǔn)定義的安全配置，以及監(jiān)控包括PCI-DSS和HIPAA在內(nèi)的框架的合規(guī)性。

•持續(xù)合規(guī)性是Lacework平臺(tái)的關(guān)鍵屬性，使用戶能夠隨時(shí)跟蹤合規(guī)趨勢(shì)。

•集成安全功能為基于主機(jī)的入侵檢測(cè)(HID)和文件完整性監(jiān)控(FIM)提供控制。

4.CloudPassage Halo

潛在買家的價(jià)值主張。CloudPassage Halo旨在幫助任何規(guī)模的企業(yè)識(shí)別和修復(fù)云風(fēng)險(xiǎn)。

關(guān)鍵價(jià)值/差異化因素：

•CloudPassage為在本地運(yùn)行的工作負(fù)載以及跨公共云或混合云部署的工作負(fù)載提供自動(dòng)安全可見性和合規(guī)性監(jiān)控。

•Halo平臺(tái)有助于識(shí)別和監(jiān)控多個(gè)合規(guī)框架的云資產(chǎn)，包括CIS AWS Foundations Benchmark、HIPAA、ISO 27001、NIST 800-53、NIST 800-171、HIPAA和PCI DSS。

•集成的安全功能還有助于實(shí)現(xiàn)合規(guī)性，Halo特別適用于PCI DSS，包括文件完整性監(jiān)控、配置管理、入侵檢測(cè)和日志管理功能。

•云計(jì)算服務(wù)管理(CSM)和軟件漏洞評(píng)估工具是該平臺(tái)的關(guān)鍵差異化因素，使組織能夠真正了解不同類型的云應(yīng)用程序工作負(fù)載的最大風(fēng)險(xiǎn)。

5.Nutanix Xi Beam

潛在買家的價(jià)值主張。對(duì)于已經(jīng)購買了Nutanix云計(jì)算產(chǎn)品組合的其他元素的組織來說，Xi Beam是一個(gè)明顯的選擇，同時(shí)它仍然是一個(gè)堅(jiān)實(shí)的獨(dú)立選項(xiàng)。

關(guān)鍵價(jià)值/差異化因素：

•Xi Beam的一個(gè)主要功能是全局摘要儀表板，它在全球范圍內(nèi)顯示所有賬戶的云計(jì)算運(yùn)行狀況，可針對(duì)不同的粒度級(jí)別進(jìn)行自定義。

•GDPR、PCI-DSS、HIPAA和CIS基準(zhǔn)測(cè)試的法規(guī)遵從性監(jiān)控和審核檢查是該平臺(tái)的一部分，具有250多項(xiàng)自動(dòng)審核檢查。

•能夠通過合規(guī)性摘要隨時(shí)查看趨勢(shì)，直觀地顯示不同合規(guī)性要求的合規(guī)性。

•Xi Beam的主要區(qū)別之一是能夠通過python腳本創(chuàng)建自定義策略，以實(shí)現(xiàn)最佳實(shí)踐和配置。

•可以安排合規(guī)性審計(jì)報(bào)告，以便每日、每周、每月向利益相關(guān)方發(fā)送。

6.Qualys Cloud Platform

潛在買家的價(jià)值主張。Qualys的合規(guī)性能力是公司云平臺(tái)的模塊化部分，使組織能夠只挑選他們需要的東西。整體平臺(tái)不僅提供合規(guī)性承諾，還提供IT資產(chǎn)和漏洞管理。

關(guān)鍵價(jià)值/差異化因素：

•PCI-DSS合規(guī)性模塊是一個(gè)特別強(qiáng)大的關(guān)鍵差異化因素，是一個(gè)非常專注和全面的解決方案。該模塊可以首先掃描所有設(shè)備，以查看PCI-DSS的范圍，然后確定合規(guī)性狀態(tài)。

•雖然生成報(bào)告在所有合規(guī)性解決方案中都很常見，但PCI-DSS模塊更進(jìn)一步，PCI執(zhí)行報(bào)告可以自動(dòng)發(fā)送到金融機(jī)構(gòu)以記錄PCI合規(guī)性。

•合規(guī)性也是最佳實(shí)踐，這是策略合規(guī)性模塊通過內(nèi)部部署和云資產(chǎn)進(jìn)行自動(dòng)安全配置評(píng)估所支持的?？梢赃M(jìn)行合規(guī)性檢查以符合不同的最佳實(shí)踐，包括全球互聯(lián)網(wǎng)安全中心(CIS)基準(zhǔn)測(cè)試。

•特別值得注意的是用于合規(guī)性監(jiān)控的帶外配置(OCA)模塊，該模塊將合規(guī)性監(jiān)控?cái)U(kuò)展到不易于定位或掃描的資產(chǎn)。

7.Sophos Cloud Optix

潛在買家的價(jià)值主張。Cloud Optix是尋求能夠與ServiceNow或Jira集成以實(shí)現(xiàn)工作流和IT服務(wù)管理的合規(guī)性平臺(tái)的組織的理想解決方案。

關(guān)鍵價(jià)值/差異化因素：

•Cloud Optix采用無代理方法以大部分自動(dòng)化方式發(fā)現(xiàn)資產(chǎn)并識(shí)別安全狀況，這可以為組織節(jié)省時(shí)間。

•合規(guī)性和最佳實(shí)踐監(jiān)控可以與CIS、SOC2、HIPAA、ISO 27001和PCI DSS以及其他模板一致，以及創(chuàng)建自定義策略和實(shí)踐的選項(xiàng)。

•持續(xù)掃描資產(chǎn)是核心功能，通過直觀的儀表板可以查看狀態(tài)可用性，該儀表板提供對(duì)合規(guī)性狀態(tài)的高級(jí)概述，并可以選擇深入了解實(shí)際情況。

•能夠設(shè)置“防護(hù)欄”以限制對(duì)關(guān)鍵設(shè)置的更改可能使組織面臨潛在的合規(guī)性違規(guī)的關(guān)鍵區(qū)別。

8.Symantec Control Compliance Suite

潛在買家的價(jià)值主張。 Control Compliance套件是中型到大型組織尋求一套強(qiáng)大的合規(guī)性和最佳實(shí)踐監(jiān)控和分析功能的最佳選擇之一。

關(guān)鍵價(jià)值/差異化因素：

•該套件包含多達(dá)五個(gè)可單獨(dú)或一起使用的核心模塊，包括用于發(fā)現(xiàn)的標(biāo)準(zhǔn)管理器、漏洞管理器，用于程序控制的評(píng)估管理器，用于與最佳實(shí)踐和合規(guī)性機(jī)制保持一致的策略管理器以及風(fēng)險(xiǎn)管理器。

•廣泛覆蓋不同類型的IT資產(chǎn)是識(shí)別云平臺(tái)、移動(dòng)、物聯(lián)網(wǎng)(IoT)和網(wǎng)絡(luò)資產(chǎn)的關(guān)鍵差異化因素，以確保它們與所需的合規(guī)性要求和最佳實(shí)踐保持一致。

•除了確保正確配置和修補(bǔ)項(xiàng)目之外，集成的漏洞管理功能還采用了威脅分析，可以幫助識(shí)別和隔離高風(fēng)險(xiǎn)資產(chǎn)。

•合規(guī)性覆蓋率首屈一指，具有報(bào)告OBIT、GLBA、HIPAA、HITRUST、ISO、ITIL、NERC-FERC、NIST、PCI、SOX等的集成功能，可通過平臺(tái)進(jìn)行15,000多次配置檢查。

供應(yīng)商比較圖表