未能滿足合規(guī)要求可能導(dǎo)致被行業(yè)團(tuán)體開除、巨額罰款，最壞的情況是被起訴。合規(guī)性監(jiān)控非常重要，無論是在本地還是在云端。

合規(guī)性監(jiān)控涵蓋從數(shù)據(jù)庫到網(wǎng)絡(luò)的各個領(lǐng)域，以及各種任務(wù)-從應(yīng)用程序更新到事件響應(yīng)。為了構(gòu)建云合規(guī)監(jiān)控策略，首先要了解影響你業(yè)務(wù)的法規(guī)或標(biāo)準(zhǔn)。然后，根據(jù)你的特定合規(guī)要求以及你所使用的云平臺，部署監(jiān)控做法和工具。

了解合規(guī)要求

每個行業(yè)都有法規(guī)要求，以及證書頒發(fā)機構(gòu)和認(rèn)證機構(gòu)，政府機構(gòu)也會頒布法規(guī)和標(biāo)準(zhǔn)。為了應(yīng)對這些要求，公司的法律部門應(yīng)該有一份合規(guī)標(biāo)準(zhǔn)清單。有些企業(yè)會有一名合規(guī)官，他們還可能有內(nèi)部審計小組。

常見合規(guī)標(biāo)準(zhǔn)或法規(guī)包括GDPR、Sarbanes-Oxley法案、HIPAA和PCI DSS。

每個合規(guī)標(biāo)準(zhǔn)都有一組相關(guān)的程序，企業(yè)必須遵循，以及需要應(yīng)用的保護(hù)措施。云合規(guī)性監(jiān)控涉及收集和整理有關(guān)這些程序和保護(hù)措施的數(shù)據(jù)。

重點監(jiān)控任務(wù)

云端合規(guī)監(jiān)控包含多項任務(wù)，包括：

• 應(yīng)用程序訪問監(jiān)控
• 數(shù)據(jù)庫保護(hù)和監(jiān)控
• 應(yīng)用程序變更管理
• 事件管理和升級
• 網(wǎng)絡(luò)監(jiān)控和安全
• 日志監(jiān)控和管理

一種常見的策略是利用云和網(wǎng)絡(luò)監(jiān)控工具收集的數(shù)據(jù)創(chuàng)建集中視圖，以了解所有這些域的合規(guī)狀態(tài)。這種方法非常適合當(dāng)前的云和網(wǎng)絡(luò)監(jiān)控實踐。

當(dāng)你啟動云合規(guī)性監(jiān)控策略時，請劃分上述任務(wù)。有些是設(shè)計時需要考慮的因素。在這種情況下，應(yīng)用程序能否滿足合規(guī)標(biāo)準(zhǔn)，取決于開發(fā)人員構(gòu)建它的方式。其他是運行時考慮因素，這意味著應(yīng)用程序需要在操作期間進(jìn)行監(jiān)視以驗證合規(guī)性。企業(yè)為其云應(yīng)用程序部署的特定工具和程序取決于合規(guī)性要求如何映射到這些類別。

企業(yè)應(yīng)將設(shè)計時合規(guī)性標(biāo)準(zhǔn)強制實施到開發(fā)管道中，并通過日志記錄和版本監(jiān)控對其進(jìn)行驗證。前者需要一種系統(tǒng)的方式來啟動、執(zhí)行、審查、測試和部署云軟件。團(tuán)隊必須確定執(zhí)行和記錄每個適用標(biāo)準(zhǔn)要求的工具。在應(yīng)用程序設(shè)計和開發(fā)期間，開發(fā)人員應(yīng)將事件或日志觸發(fā)器插入代碼中，以使合規(guī)性事件對監(jiān)控工具可見。

針對軟件安全和管道管理的工具，例如Veracode和Checkmarx，可幫助執(zhí)行設(shè)計時合規(guī)性要求。而審計軟件和數(shù)據(jù)實踐的工具則是有用的補充，包括Momentum QMS、Synopsys的Black Duck和Gensuite。它們并不是針對特定的云平臺。此外，控制用戶帳戶如何訪問云應(yīng)用程序和資源的合規(guī)性管理工具也可能很有用，例如Active Directory、LDAP和應(yīng)用程序訪問控制或零信任工具。

云團(tuán)隊可以使用IT日志和事件管理工具及做法來確認(rèn)設(shè)計時合規(guī)性。例如，日志分析可以通過未經(jīng)授權(quán)的訪問檢測記錄備份是否完整或潛在的合規(guī)性違規(guī)。這里的目標(biāo)是驗證在應(yīng)用程序設(shè)計期間建立的做法，確保其成功實施，并識別任何遺漏或不正確的做法。日志聚合、管理和監(jiān)控工具包括來自Dynatrace、Sumo Logic、SolarWinds和很多其他公司的產(chǎn)品。

云合規(guī)監(jiān)控工具

缺乏 IT 管理和監(jiān)控工具的小型企業(yè)應(yīng)該考慮結(jié)合監(jiān)控和合規(guī)策略分析的工具。這些具有顯著的易用性優(yōu)勢。但它們可能只支持某些標(biāo)準(zhǔn)和云平臺。

如果一家公司的合規(guī)性要求僅限于通用標(biāo)準(zhǔn)，例如GDPR或HIPAA，那么很容易找到監(jiān)控工具，從云托管應(yīng)用程序收集數(shù)據(jù)并以標(biāo)準(zhǔn)、特定方式報告調(diào)查結(jié)果。有些工具是特定于云提供商，例如為 AWS 設(shè)計的Dash ComplyOps。其他工具，例如 Kion(以前稱為 cloudtamer.io)，提供廣泛的合規(guī)性監(jiān)控和映射功能，以及云管理功能。Kion支持特定的合規(guī)標(biāo)準(zhǔn)，以及通用監(jiān)控-企業(yè)可以通過策略關(guān)聯(lián)合規(guī)標(biāo)準(zhǔn)。

如果你找不到滿足要求的云合規(guī)監(jiān)控工具，則可同時使用多個云監(jiān)控工具來收集適當(dāng)?shù)男畔ⅰ０踩O(jiān)控通常是合規(guī)監(jiān)控的組成部分。來自IT供應(yīng)商(如SolarWinds和NetApp)的通用工具通?？梢酝瓿蛇@項任務(wù)。云提供商的日志工具或集中式日志工具通常會提供超出安全合規(guī)性的合規(guī)性數(shù)據(jù)。云供應(yīng)商的示例包括：亞馬遜Centralized Logging服務(wù)中的Amazon CloudWatch日志或Azure Monitor的分析和管理功能。在這些情況下，企業(yè)可能需要手動過程來收集和解釋收集的數(shù)據(jù)。

如果企業(yè)使用單一的云提供商，那么收集和分析合規(guī)性數(shù)據(jù)的步驟相當(dāng)簡單。在多云和某些混合云部署中，企業(yè)可能需要獨立監(jiān)控每個云部署，并通過離線分析工具關(guān)聯(lián)數(shù)據(jù)。

云承諾會隨著時間而改變。請記錄用于選擇工具和方法的所有流程和選擇標(biāo)準(zhǔn)。