云計(jì)算的合規(guī)性可以確保云計(jì)算服務(wù)滿足用戶的合規(guī)性要求。但是，采用云計(jì)算服務(wù)的企業(yè)不應(yīng)假設(shè)每個(gè)云計(jì)算公司都能滿足其獨(dú)特需求，因?yàn)樗麄兲峁┑呐c合規(guī)性相關(guān)的服務(wù)產(chǎn)品各不相同。

數(shù)據(jù)傳輸、存儲(chǔ)、備份、檢索和訪問(wèn)需要符合云計(jì)算合規(guī)性。雖然IT部門(mén)往往負(fù)責(zé)實(shí)施合規(guī)性，但可能(也可能應(yīng)該)涉及其他職能部門(mén)。這種參與包括決策、監(jiān)控、審計(jì)、治理、安全、數(shù)據(jù)保護(hù)、風(fēng)險(xiǎn)管理，以及法律。

合規(guī)性是一個(gè)非常嚴(yán)肅的話題，應(yīng)該得到深入的理解，因?yàn)楹弦?guī)性失敗可能導(dǎo)致監(jiān)管罰款、訴訟、網(wǎng)絡(luò)安全事件，以及聲譽(yù)損害。因此，了解云計(jì)算提供商提供的服務(wù)和企業(yè)要求的詳細(xì)信息非常重要。

本文概述了云計(jì)算合規(guī)性的注意事項(xiàng)，并列出了全球三大主要云計(jì)算服務(wù)提供商Amazon Web Services、Microsoft Azure、Google Cloud中常見(jiàn)的一些服務(wù)。有興趣采購(gòu)云合規(guī)服務(wù)的組織應(yīng)訪問(wèn)相應(yīng)服務(wù)提供商的網(wǎng)站以獲取最新信息。

云計(jì)算合規(guī)性問(wèn)題包括客戶合規(guī)性和服務(wù)合規(guī)性管理。

云計(jì)算合規(guī)性：關(guān)鍵考慮因素

當(dāng)人們考慮云計(jì)算合規(guī)性時(shí)出現(xiàn)的首要問(wèn)題之一是用戶不用管理自己的基礎(chǔ)設(shè)施。

如果出現(xiàn)問(wèn)題，企業(yè)將外包作為防御措施是行不通的。實(shí)際上，包括AWS和Microsoft Azure在內(nèi)的云計(jì)算提供商強(qiáng)調(diào)了云計(jì)算合規(guī)性是雙重責(zé)任這一事實(shí)。雖然他們對(duì)用戶有一定的合同責(zé)任，但用戶必須注意自己的最佳利益。這包括為用戶的要求選擇正確的服務(wù)，正確處理用戶控制的配置等。

確保云計(jì)算合規(guī)性的其他一些考慮因素包括：

•數(shù)據(jù)。確定在云平臺(tái)中存儲(chǔ)的內(nèi)容以及原因。

•數(shù)據(jù)位置。審核員可能會(huì)詢問(wèn)數(shù)據(jù)的位置，但云計(jì)算服務(wù)提供商可能不會(huì)透露該信息。

•資產(chǎn)管理。云計(jì)算服務(wù)提供商負(fù)責(zé)管理其基礎(chǔ)設(shè)施資產(chǎn)，企業(yè)負(fù)責(zé)管理自己的資產(chǎn)，包括托管的操作系統(tǒng)和應(yīng)用程序。

•系統(tǒng)和數(shù)據(jù)訪問(wèn)控制。合規(guī)性往往涉及數(shù)據(jù)安全性。企業(yè)應(yīng)該了解哪些人可以采用其云計(jì)算服務(wù)提供商(包括第三方承包商)的服務(wù)，并訪問(wèn)哪些內(nèi)容。

•配置管理。例如，如果企業(yè)錯(cuò)誤配置AWS S3存儲(chǔ)桶，則由自行承擔(dān)錯(cuò)誤。

•數(shù)據(jù)加密。保持合規(guī)性通常意味著在靜止和運(yùn)動(dòng)中加密數(shù)據(jù)以保護(hù)它。

•共享或私有資源。根據(jù)企業(yè)的特定合規(guī)性要求，可能需要云計(jì)算服務(wù)提供商的數(shù)據(jù)中心中的私有數(shù)據(jù)中心套件。

•服務(wù)水平協(xié)議(SLA)。適用于企業(yè)的法律和法規(guī)可能有服務(wù)級(jí)別協(xié)議要求。這可能會(huì)限制其可以使用的服務(wù)類型。

•數(shù)據(jù)保護(hù)。了解云計(jì)算提供商保護(hù)企業(yè)的信息的程度非常重要。

•合規(guī)性認(rèn)證和法律認(rèn)可的替代品。并非所有云計(jì)算合規(guī)性服務(wù)都能夠通過(guò)認(rèn)證。如果由于某種原因無(wú)法進(jìn)行認(rèn)證，云計(jì)算提供商可能會(huì)找到一種符合標(biāo)準(zhǔn)的方法，例如遵守更嚴(yán)格的標(biāo)準(zhǔn)。

•審計(jì)。了解哪些第三方審核云計(jì)算合規(guī)性并閱讀報(bào)告。還要了解企業(yè)是否有權(quán)審核云合規(guī)性。

•事件響應(yīng)。了解潛在事件的范圍以及如果出現(xiàn)這些類型的事件(例如，接收警報(bào)和響應(yīng)速度)，應(yīng)采取何種類型的事件響應(yīng)。

•電子發(fā)現(xiàn)功能。這是一個(gè)法律問(wèn)題，而不是監(jiān)管問(wèn)題。如果企業(yè)發(fā)現(xiàn)自己處于任何類型的訴訟中，將需要快速訪問(wèn)所請(qǐng)求的數(shù)據(jù)，并且只訪問(wèn)所請(qǐng)求的數(shù)據(jù)。

•安全要求。企業(yè)應(yīng)該了解通常選擇正確的云計(jì)算服務(wù)所需的安全形式。出于合規(guī)性目的，需要了解法律或法規(guī)要求的安全級(jí)別。

•災(zāi)難恢復(fù)。發(fā)生電力中斷。適用于企業(yè)的法律和法規(guī)可能具有特定的災(zāi)難恢復(fù)要求。

•盡職調(diào)查。了解如何處理定期盡職調(diào)查。

•信息資源。云計(jì)算服務(wù)提供商提供的信息資源差別很大。提供大量信息的那些可以幫助用戶從一開(kāi)始就成功實(shí)現(xiàn)云計(jì)算合規(guī)性。

•合規(guī)報(bào)告。了解用戶可以訪問(wèn)和閱讀的合規(guī)報(bào)告的范圍。

云計(jì)算合規(guī)服務(wù)提供商可能涵蓋的內(nèi)容

不同的云計(jì)算服務(wù)提供商以不同方式呈現(xiàn)其云計(jì)算合規(guī)性服務(wù)。一些提供商使用列表而其他提供商使用網(wǎng)格。有些人將事情分類，而有些人則沒(méi)有。

例如，AWS公司有三個(gè)列表涵蓋認(rèn)證/證明、法律/法規(guī)/隱私、路線/框架。微軟公司和谷歌公司更喜歡采用用戶體驗(yàn)元素。此外，微軟公司還將其合規(guī)服務(wù)分為全球、政府、行業(yè)和地區(qū)。

由于信息的呈現(xiàn)因服務(wù)提供商而異，因此用戶應(yīng)仔細(xì)審查產(chǎn)品。在合規(guī)性方面，假設(shè)是危險(xiǎn)的，因此IT部門(mén)應(yīng)與上述其他職能部門(mén)合作，以確保合規(guī)的覆蓋范圍。

全球三大云計(jì)算提供商共有的云計(jì)算合規(guī)性資源包括：

•歐洲的云計(jì)算互聯(lián)網(wǎng)服務(wù)提供商(CISPE)——這是一家促進(jìn)高級(jí)別安全和數(shù)據(jù)保護(hù)的非營(yíng)利組織。

•明確合法的海外使用數(shù)據(jù)法(云計(jì)算法案)——即2018年頒布的美國(guó)聯(lián)邦法律。

•互聯(lián)網(wǎng)安全中心(CIS)基準(zhǔn)——防止網(wǎng)絡(luò)攻擊的配置指南。

•刑事司法信息服務(wù)(CJIS)——由執(zhí)法部門(mén)、國(guó)家安全部門(mén)、情報(bào)部門(mén)針對(duì)云計(jì)算技術(shù)提出的一套建議。

•云計(jì)算安全聯(lián)盟(CSA)——最佳實(shí)踐。

•英國(guó)國(guó)家網(wǎng)絡(luò)安全中心——頒發(fā)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施及認(rèn)證機(jī)構(gòu)