云計算的合規性可以確保云計算服務滿足用戶的合規性要求。但是,采用云計算服務的企業不應假設每個云計算公司都能滿足其獨特需求,因為他們提供的與合規性相關的服務產品各不相同。
數據傳輸、存儲、備份、檢索和訪問需要符合云計算合規性。雖然IT部門往往負責實施合規性,但可能(也可能應該)涉及其他職能部門。這種參與包括決策、監控、審計、治理、安全、數據保護、風險管理,以及法律。
合規性是一個非常嚴肅的話題,應該得到深入的理解,因為合規性失敗可能導致監管罰款、訴訟、網絡安全事件,以及聲譽損害。因此,了解云計算提供商提供的服務和企業要求的詳細信息非常重要。
本文概述了云計算合規性的注意事項,并列出了全球三大主要云計算服務提供商Amazon Web Services、Microsoft Azure、Google Cloud中常見的一些服務。有興趣采購云合規服務的組織應訪問相應服務提供商的網站以獲取最新信息。
云計算合規性問題包括客戶合規性和服務合規性管理。
云計算合規性:關鍵考慮因素
當人們考慮云計算合規性時出現的首要問題之一是用戶不用管理自己的基礎設施。
如果出現問題,企業將外包作為防御措施是行不通的。實際上,包括AWS和Microsoft Azure在內的云計算提供商強調了云計算合規性是雙重責任這一事實。雖然他們對用戶有一定的合同責任,但用戶必須注意自己的最佳利益。這包括為用戶的要求選擇正確的服務,正確處理用戶控制的配置等。
確保云計算合規性的其他一些考慮因素包括:
•數據。確定在云平臺中存儲的內容以及原因。
•數據位置。審核員可能會詢問數據的位置,但云計算服務提供商可能不會透露該信息。
•資產管理。云計算服務提供商負責管理其基礎設施資產,企業負責管理自己的資產,包括托管的操作系統和應用程序。
•系統和數據訪問控制。合規性往往涉及數據安全性。企業應該了解哪些人可以采用其云計算服務提供商(包括第三方承包商)的服務,并訪問哪些內容。
•配置管理。例如,如果企業錯誤配置AWS S3存儲桶,則由自行承擔錯誤。
•數據加密。保持合規性通常意味著在靜止和運動中加密數據以保護它。
•共享或私有資源。根據企業的特定合規性要求,可能需要云計算服務提供商的數據中心中的私有數據中心套件。
•服務水平協議(SLA)。適用于企業的法律和法規可能有服務級別協議要求。這可能會限制其可以使用的服務類型。
•合規性認證和法律認可的替代品。并非所有云計算合規性服務都能夠通過認證。如果由于某種原因無法進行認證,云計算提供商可能會找到一種符合標準的方法,例如遵守更嚴格的標準。
•審計。了解哪些第三方審核云計算合規性并閱讀報告。還要了解企業是否有權審核云合規性。
•事件響應。了解潛在事件的范圍以及如果出現這些類型的事件(例如,接收警報和響應速度),應采取何種類型的事件響應。
•電子發現功能。這是一個法律問題,而不是監管問題。如果企業發現自己處于任何類型的訴訟中,將需要快速訪問所請求的數據,并且只訪問所請求的數據。
•安全要求。企業應該了解通常選擇正確的云計算服務所需的安全形式。出于合規性目的,需要了解法律或法規要求的安全級別。
•災難恢復。發生電力中斷。適用于企業的法律和法規可能具有特定的災難恢復要求。
•盡職調查。了解如何處理定期盡職調查。
•信息資源。云計算服務提供商提供的信息資源差別很大。提供大量信息的那些可以幫助用戶從一開始就成功實現云計算合規性。
•合規報告。了解用戶可以訪問和閱讀的合規報告的范圍。
不同的云計算服務提供商以不同方式呈現其云計算合規性服務。一些提供商使用列表而其他提供商使用網格。有些人將事情分類,而有些人則沒有。
例如,AWS公司有三個列表涵蓋認證/證明、法律/法規/隱私、路線/框架。微軟公司和谷歌公司更喜歡采用用戶體驗元素。此外,微軟公司還將其合規服務分為全球、政府、行業和地區。
由于信息的呈現因服務提供商而異,因此用戶應仔細審查產品。在合規性方面,假設是危險的,因此IT部門應與上述其他職能部門合作,以確保合規的覆蓋范圍。
•歐洲的云計算互聯網服務提供商(CISPE)——這是一家促進高級別安全和數據保護的非營利組織。
•明確合法的海外使用數據法(云計算法案)——即2018年頒布的美國聯邦法律。
•刑事司法信息服務(CJIS)——由執法部門、國家安全部門、情報部門針對云計算技術提出的一套建議。
•云計算安全聯盟(CSA)——最佳實踐。
•英國國家網絡安全中心——頒發的網絡基礎設施及認證機構
