对于计划将工作负载和应用程序迁移到云端的企业而言,确保云基础设施的安全性是至关重要的。在许多情况下,遵守特定的法规合规性标准不仅仅是遵循行业最佳实践,甚至在某些情况下是法律的要求。处理敏感的个人、财务和健康数据的企业必须确认其是否具备适当的控制措施,以保护这些数据,无论数据是存储在内部数据中心还是云环境中,亦或在传输过程中。
虽然在不合规的基础架构上技术上可以构建安全的应用程序,但这对客户来说并不现实。因此,对于云基础架构提供商而言,合规性标准同样是一个重要问题。实际上,遵守安全标准已成为许多企业选择云供应商的前提条件。
存在多种合规标准,例如支付卡行业数据安全标准(PCI DSS)、ISO/IEC 27001:2013、HITRUST和SOC 2。PCI DSS是由支付卡行业设定的,旨在确保信用卡信息的安全,要求对持卡人数据的传输进行加密,并使用防火墙进行保护。所有处理、存储或接受信用卡数据的企业,不论规模大小,都必须遵循PCI标准。ISO27001是一个更为通用的数据安全国际标准,而HITRUST则旨在确保企业能够按照HIPAA法规安全处理医疗信息。对于大多数云服务提供商来说,SOC 2作为一种常见的合规标准,提供了一套适用于存储客户数据的企业的控制需求框架,涵盖所有SaaS和IaaS公司,以及使用云存储客户信息的企业。
客户有理由期待其云基础设施提供商提供年度SOC 2类型2审计报告,该报告应由独立的第三方审计公司编制。SOC 2类型2审计对客户数据的安全性、可用性、保密性和隐私性的控制措施进行综合评估。这类审计为客户提供了重要的信息,有助于评估云服务提供商的风险。SOC 2审计报告可以向客户保证,云基础设施供应商为关键业务应用提供了安全且符合标准的基础。
合规性标准不仅为云基础设施提供商及其客户提供了安全控制实施的通用语言,也反映了企业内部的安全文化。实际上,即使某些客户不要求遵循特定标准,他们仍可能希望其云服务提供商能够实现这些标准,以展示其运营的高效性。
云安全的另一个重要方面是理解共享责任模型。云基础架构提供商通常会明确说明他们在整体安全框架中负责的部分,以及客户需要自行管理的部分。一般而言,基础架构提供商负责保护基础设施本身,包括托管平台的人员、硬件、软件、网络和物理设施。客户则通常负责保护自己的环境,包括来宾操作系统、应用程序和数据。例如,基础架构提供商会负责为托管云平台的系统和应用实施身份管理,而客户则需要在其云环境中为系统和应用程序实施身份管理。客户了解自己责任的起始点与基础架构提供商的责任终点是至关重要的,以防止可能导致安全漏洞的任何差距。
合规基础设施使客户能够更容易构建符合相同标准的安全应用程序。基础设施提供商通过自身的合规行为来简化法规遵从流程,这不仅增强了数字世界的安全性,还可能带来竞争优势。
企业通常会花费大量的时间、精力和资金,以实现其应用程序、网络和内部部署基础设施的标准合规性。对于特定行业的企业而言,保持符合PCI DSS等标准的负担甚至可能成为云迁移的障碍。通过提供标准合规性,云基础架构提供商能够降低风险,并简化客户向云迁移的过程。
