对于任何计划将工作负载和应用程序迁移至云端的组织而言,确保所依赖的云计算基础设施具备安全性是至关重要的。
许多组织不仅需要遵循行业最佳实践来满足合规标准,更在某些情况下这已成为法律的要求。特别是那些处理敏感个人、财务和健康数据的机构,必须验证其是否具备恰当的控制措施,以保护这些数据,无论这些数据是存储在本地数据中心还是云端,并在传输过程中也需受到保护。
尽管在技术上可以在不合规的基础设施上构建安全的应用程序,但对于客户而言,这并不实际。因此,云基础设施提供商与客户一样,必须重视标准合规性。实际上,对于大多数组织而言,遵循安全标准是选择云计算供应商时的重要前提。
合规标准
存在多种合规标准,例如支付卡行业数据安全标准(PCI)、ISO/IEC27001:2013、HITRUST和SOC2。其中,PCI是由支付卡行业设定,旨在确保信用卡信息的安全性,要求采取如加密持卡人数据传输和使用防火墙等保护措施。无论业务规模或交易量如何,所有传输、存储、处理或接收信用卡数据的企业都必须遵循PCI标准。ISO27001则是一个更为通用的数据安全国际标准。HITRUST旨在确保组织能够根据HIPAA法规安全处理医疗信息。而对于云计算服务提供商而言,SOC2可能是最常见的合规标准。SOC2信任服务标准提供了一个控制要求框架,适用于所有在云中存储客户数据的组织,包括所有SaaS和IaaS公司,以及那些使用云存储其客户信息的企业。
客户应期望其云基础设施提供商提供年度SOC2 Type 2审核报告以供审核。SOC2 Type 2审核对客户数据的安全性、可用性、机密性和隐私性控制措施的有效性进行全面评估,这对客户在对云服务提供商进行风险评估时提供了重要信息。SOC2审计报告可以向客户证明,云基础设施供应商为其关键业务应用程序提供了安全和合规的基础。
标准合规性不仅为云基础设施提供商及其客户提供了关于安全控制实施的通用语言和理解,还被视为组织内部安全文化的体现。实际上,某些不受特定标准约束的客户可能仍会要求遵循这些标准,因为这反映了基础设施提供商的运营效率。
了解共享责任模型是云安全的另一个关键因素。云基础设施提供商通常会明确其负责的总体安全框架以及客户需要自行管理的部分。一般而言,基础设施提供商负责保护基础设施本身,包括托管平台的人员、硬件、软件、网络和物理设施,而客户通常负责保护自己的环境,包括来宾操作系统、应用程序和数据。例如,基础设施提供商通常负责为其托管云平台的系统和应用程序实施身份管理,而客户则需为其云环境中的系统和应用程序实施身份管理。客户需明确自身的责任起点与基础设施提供商的责任终点,以避免潜在的安全漏洞。
兼容的基础设施有助于客户更轻松地构建符合相同标准的安全应用程序。基础设施提供商通过遵循相关法规来简化合规流程,这不仅提升了数字世界的安全性,还为其带来了竞争优势。
组织通常会投入大量时间、精力和资金,以实现其应用程序、网络和内部基础设施的标准合规性。对于特定行业的组织而言,遵循如PCI DSS等标准的负担甚至可能成为云迁移的障碍。通过提供标准合规性,云基础设施提供商能够降低风险,简化客户迁移至云的过程。
