?作者 | Aman Kandola

譯者 | 布加迪

策劃 | 武穆

搭建自己的服務(wù)器需要大量的前期投入和日常維護(hù)。這就是為什么如今大多數(shù)技術(shù)公司使用基礎(chǔ)設(shè)施即服務(wù)（IaaS）來(lái)滿足自己對(duì)計(jì)算的需求。亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）、谷歌云和微軟Azure等云提供商負(fù)責(zé)處理基礎(chǔ)設(shè)施任務(wù)，比如為公司配置新機(jī)器并使其保持最新?tīng)顟B(tài)，它們的服務(wù)讓公司的團(tuán)隊(duì)可以專注于為應(yīng)用程序構(gòu)建有價(jià)值的新功能。

基于云的公司經(jīng)常需要確保自己的軟件在構(gòu)建時(shí)已采用了保證安全的最佳實(shí)踐。合規(guī)標(biāo)準(zhǔn)和認(rèn)證是表明公司的安全狀況并與客戶建立信任關(guān)系的一種有效方式。

本文著重介紹使用公共云提供商在應(yīng)用程序的合規(guī)和安全方面帶來(lái)的好處，以及應(yīng)該考慮的注意事項(xiàng)。

1.云提供商使安全和合規(guī)變得不那么費(fèi)力

當(dāng)公司使用云提供商的服務(wù)時(shí)，啟動(dòng)虛擬機(jī)或監(jiān)控其性能等工作會(huì)容易得多，因?yàn)閷?duì)方已將所有硬件和功能落實(shí)到位。同樣，公司可以相信云提供商能滿足公司的安全要求，因?yàn)榇蠖鄶?shù)主流云提供商已經(jīng)投入資源來(lái)獲得和維護(hù)許多常見(jiàn)的安全認(rèn)證，比如PCI DSS和SOC 2。

此外，云提供商的國(guó)際聲譽(yù)取決于它們以往在安全方面的表現(xiàn)。

除了整體信任因素外，由于所有面向合規(guī)的功能，使用云提供商可以讓公司更容易獲得和維護(hù)SOC 2或ISO/IEC 27001等安全認(rèn)證。我們?cè)谙旅嬖铺峁┥痰漠a(chǎn)品中介紹了一些此類(lèi)功能的例子。

2.實(shí)現(xiàn)合規(guī)的內(nèi)置功能

云提供商提供許多內(nèi)置功能，幫助用戶遵守行業(yè)最佳實(shí)踐和法規(guī)。以AWS S3為例，公司可以為存儲(chǔ)在服務(wù)中的對(duì)象（文件和文件夾）創(chuàng)建專門(mén)的保留策略?？梢赃M(jìn)行配置，對(duì)對(duì)象刪除以及對(duì)象定期失效實(shí)行限制。這樣一來(lái)，比較容易在金融等領(lǐng)域滿足合規(guī)標(biāo)準(zhǔn)，這類(lèi)領(lǐng)域要求客戶和業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)不能保留太久。

云提供商可以幫助公司簡(jiǎn)化工作的另一個(gè)方面是維護(hù)，因?yàn)樗鼈儠?huì)自動(dòng)更新操作系統(tǒng)和軟件包。以AWS Lambda為例，公司的代碼將在輕量級(jí)隔離環(huán)境中執(zhí)行。AWS完全承擔(dān)維護(hù)底層主機(jī)的工作，那樣公司的技術(shù)運(yùn)營(yíng)團(tuán)隊(duì)可以少擔(dān)心一項(xiàng)工作。

3.與合規(guī)監(jiān)控工具集成

Vanta和Drata等合規(guī)工具與幾大云提供商集成，允許公司自動(dòng)監(jiān)控是否滿足合規(guī)標(biāo)準(zhǔn)。由于這些工具可以直接插入到云提供商API，因此它們能夠自動(dòng)提取相關(guān)數(shù)據(jù)，并在配置有誤時(shí)發(fā)送警報(bào)。

4.內(nèi)置審計(jì)日志和事件跟蹤

由于云提供商已經(jīng)在公司的賬戶中收集審計(jì)日志并跟蹤事件，因此一些認(rèn)證審計(jì)檢查變得更容易。以谷歌云存儲(chǔ)（Google Cloud Storage）為例，它直接提供了詳細(xì)程度不一的多個(gè)日志記錄選項(xiàng)。在云服務(wù)中創(chuàng)建日志收集機(jī)制很簡(jiǎn)單。因此，每當(dāng)需要與審計(jì)員共享日志時(shí)，公司都可以提取結(jié)果作為合規(guī)證明。

5.用戶管理和細(xì)粒度權(quán)限

允許哪些用戶獲得公司云提供商賬戶的特權(quán)訪問(wèn)須格外小心，這對(duì)于降低安全漏洞的可能性大有幫助。這就是為什么許多公司遵循最小特權(quán)原則。云提供商提供了許多選項(xiàng)來(lái)創(chuàng)建權(quán)限受限制的用戶賬戶，以滿足這個(gè)原則。

比如，Azure的身份和訪問(wèn)管理服務(wù)Azure AD允許在單個(gè)云服務(wù)級(jí)別配置用戶權(quán)限，甚至經(jīng)常在該服務(wù)中的單個(gè)項(xiàng)目級(jí)別配置用戶權(quán)限。

幾大云提供商還提供了這種可能性：創(chuàng)建純API用戶，甚至可以讓公司的基礎(chǔ)設(shè)施中的虛擬機(jī)承擔(dān)特定的用戶角色，無(wú)需為其創(chuàng)建任何憑證。

到目前為止，我們一直在談?wù)撛铺峁┥淘诎踩秃弦?guī)方面的優(yōu)勢(shì)。但是有幾個(gè)重要的方面要注意，下一節(jié)將會(huì)重點(diǎn)介紹。

6.云提供商不“僅僅”為公司解決合規(guī)問(wèn)題

云提供商實(shí)施了許多功能，使公司更容易實(shí)現(xiàn)合規(guī)。但仍然需要公司和各開(kāi)發(fā)團(tuán)隊(duì)確定自己需要使用什么來(lái)滿足合規(guī)要求。實(shí)現(xiàn)和保持合規(guī)的過(guò)程需要包括：獲得合格的建議、實(shí)施所需的控制措施以及長(zhǎng)期監(jiān)控措施。云提供商的功能只是讓用戶完成這些步驟變得不那么費(fèi)力。

請(qǐng)注意，說(shuō)到實(shí)現(xiàn)SOC2等安全認(rèn)證，云服務(wù)客戶沒(méi)有特別的捷徑而言。公司仍然需要提供證據(jù)，以表明自己確實(shí)在采用安全實(shí)踐——無(wú)論在內(nèi)部還是通過(guò)云提供商。公司需要核查IaaS提供商的安全認(rèn)證，請(qǐng)求支持性文檔，并提供給審計(jì)人員。每一項(xiàng)審計(jì)要求都需要通過(guò)云提供商提供的證據(jù)或公司直接提供的證據(jù)來(lái)予以滿足。不能有任何漏網(wǎng)之魚(yú)。

7.合規(guī)成本 

實(shí)現(xiàn)合規(guī)和安全認(rèn)證時(shí)要考慮的另一個(gè)因素是成本。大多數(shù)公司沒(méi)有意識(shí)到在云端，一些與合規(guī)相關(guān)的服務(wù)有多貴。AWS GuardDuty是一種流行的服務(wù)，可用于收集和存儲(chǔ)事件日志，按事件數(shù)量定價(jià)。如果每天向GuardDuty發(fā)送數(shù)百萬(wàn)個(gè)事件，總成本會(huì)迅速增加。

讓成本變得更復(fù)雜性的是，采用按使用付費(fèi)的合規(guī)服務(wù)通常難以估計(jì)使用模式以及未來(lái)的成本。同樣以GuardDuty為例，如果公司清楚每天將生成多少事件，很容易了解未來(lái)的成本。但事件的數(shù)量很難預(yù)測(cè)，技術(shù)團(tuán)隊(duì)可能需要數(shù)周時(shí)間才能對(duì)復(fù)雜SaaS應(yīng)用程序的事件做出合理的估計(jì)。

鑒于成本可能沒(méi)有上限，公共云的合規(guī)成了一項(xiàng)成本優(yōu)化工作。精明的公司會(huì)花時(shí)間來(lái)計(jì)算預(yù)計(jì)成本，并估計(jì)各種安全風(fēng)險(xiǎn)的可能性和影響。比如，金融服務(wù)公司的數(shù)據(jù)泄露可能對(duì)其業(yè)務(wù)造成毀滅性影響，因此這類(lèi)公司可能愿意接受更高的合規(guī)成本。不過(guò)，對(duì)于安全風(fēng)險(xiǎn)較低的企業(yè)來(lái)說(shuō)，高昂的合規(guī)費(fèi)用可能不合理。

值得一提的是，大多數(shù)云提供商提供了多種方式來(lái)實(shí)現(xiàn)合規(guī)。比如，如果GuardDuty對(duì)企業(yè)的使用場(chǎng)景來(lái)說(shuō)過(guò)于昂貴，可以通過(guò)其他途徑來(lái)滿足特定的合規(guī)檢查。比如，公司可以選擇通過(guò)腳本每周檢查所有系統(tǒng)，而不是實(shí)行事件主動(dòng)監(jiān)控。公司還可以為低使用率的服務(wù)啟用某些監(jiān)控（因此不會(huì)為此支付太高的費(fèi)用），但為應(yīng)用程序的高事務(wù)部分尋找其他選項(xiàng)。

8.應(yīng)遵循的最佳實(shí)踐

以下是確保云安全方面遵循最佳實(shí)踐的幾個(gè)建議。

（1）審批工作流程

審批工作流是一個(gè)正式的流程，用于監(jiān)控項(xiàng)目任務(wù)，并確保它們?cè)谧詈笃谙迌?nèi)完成、滿足業(yè)務(wù)和產(chǎn)品要求，并且沒(méi)有錯(cuò)誤。具有清晰底層流程和相關(guān)審計(jì)日志的標(biāo)準(zhǔn)化審批工作流往往更容易滿足合規(guī)檢查。使用云技術(shù)實(shí)施審批工作流有很多便捷的方法，比如使用無(wú)服務(wù)器計(jì)算。

（2）驗(yàn)證第三方服務(wù)

除了使用云提供商外，公司可能還會(huì)使用第三方軟件工具。公司的合規(guī)監(jiān)控流程應(yīng)包括驗(yàn)證自己使用的第三方服務(wù)的安全控制措施和合規(guī)標(biāo)準(zhǔn)。想不想看看擁有合規(guī)認(rèn)證如何使客戶更容易完成這部分工作？

（3）自動(dòng)化

雖然可以手動(dòng)跟蹤合規(guī)，但這么做不具有可持續(xù)性，尤其是對(duì)于擁有數(shù)千名客戶的SaaS應(yīng)用程序而言。我們建議使用軟件工具和自動(dòng)化來(lái)監(jiān)控合規(guī)，并在公司基礎(chǔ)設(shè)施的某個(gè)方面不再合規(guī)時(shí)創(chuàng)建警報(bào)。這使得該過(guò)程更快速、更穩(wěn)健。對(duì)認(rèn)證而言最重要的是這使審計(jì)變得更容易。

原文鏈接：https://dzone.com/articles/security-and-compliance-considerations-for-the-pub-1?