組織需要深入了解頂級云計算合規(guī)性工具，這些工具可幫助其實現(xiàn)法規(guī)遵從性，并實施行業(yè)最佳實踐。

遷移到云計算可以減輕組織的基礎(chǔ)設(shè)施管理問題，但這并不能免除企業(yè)確保云計算合規(guī)性的責(zé)任。實際上，云計算合規(guī)性和治理在云計算和數(shù)據(jù)中心中仍然至關(guān)重要。

云計算中的合規(guī)性是一個多方面的問題。組織的云計算基礎(chǔ)設(shè)施需要實現(xiàn)合規(guī)性，以及云計算廠商需要具備提供滿足各種需求的服務(wù)的能力。而且，組織需要管理自己對云計算資源的使用以及數(shù)據(jù)使用，以維護合規(guī)性和行業(yè)最佳實踐。

例如，公共云提供商可以使其平臺認(rèn)證合規(guī)，以用于需要滿足支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)的組織。

目前有多種工具和服務(wù)可以幫助企業(yè)滿足并保持合規(guī)性。有些工具與云計算工作負(fù)載保護平臺管理重疊，而其他工具則專門針對合規(guī)性而專門構(gòu)建。每個頂級公共云供應(yīng)商(AWS、Microsoft Azure、Google Cloud和IBM Cloud)都提供了可用于組織監(jiān)控合規(guī)性工作的工具。

如何選擇云計算合規(guī)性工具

在選擇云計算合規(guī)性工具時，組織需要考慮許多關(guān)鍵標(biāo)準(zhǔn)。雖然某種工具可能是一家公司的理想選擇，但它可能不適用于另一家公司，具體取決于對某些功能的需求。

作為云計算項目管理決策的一部分，有許多關(guān)鍵考慮因素需要評估：

·合規(guī)范圍。有許多不同的合規(guī)性規(guī)范，確定組織需要涵蓋哪些合規(guī)性，并確保選擇符合這些法規(guī)的解決方案非常重要。其中最常見的是PCI-DSS、健康保險流通與責(zé)任法案(HIPAA)和通用數(shù)據(jù)保護法規(guī)(GDPR)。

·內(nèi)部集成。許多組織都擁有云計算和內(nèi)部部署資產(chǎn)，也就是真正的混合云，因此需要管理以實現(xiàn)合規(guī)性。如果企業(yè)有兩種類型的環(huán)境，需要考慮可以處理內(nèi)部部署和云計算IT資產(chǎn)的解決方案。

·綜合安全。有些工具是獨立的合規(guī)解決方案，而其他工具則直接將安全性集成到云工作負(fù)載管理中，如果企業(yè)尚未采用云計算安全控制，需要考慮具有集成安全性的解決方案。

·報告功能。無論好壞，都要報告任何合規(guī)制度的核心要素。在評估不同工具時，需要查找審核員要求的報告功能。

在Datamation公司提供的頂級公司列表中，云服務(wù)器，重點介紹了提供頂級云計算合規(guī)工具的供應(yīng)商

1.Cavirin

潛在買家的價值主張。除了合規(guī)性之外，Cavirin公司對于希望更好地了解其整體風(fēng)險和網(wǎng)絡(luò)態(tài)勢的組織來說是一個很好的選擇。

關(guān)鍵價值/差異化因素：

•針對多個安全框架(包括NIST)和指南(包括PCI-DSS、HIPAA和GDPR)的集成合規(guī)性映射。

•可以幫助識別云計算和本地部署中的潛在漏洞區(qū)域。

•Cavirin公司更獨特的關(guān)鍵功能之一是該平臺的網(wǎng)絡(luò)態(tài)勢評分，它提供了IT資產(chǎn)的高級概述以及所有內(nèi)容的安全性。

•該平臺還可以與開發(fā)和DevOps工作流程集成，VPS，以幫助確保在開發(fā)應(yīng)用程序時完成合規(guī)性。

2.Checkpoint CloudGuard Dome9

潛在買家的價值主張。CloudGuard Dome9是希望確保云計算工作負(fù)載安全，并實現(xiàn)合規(guī)性的組織的理想選擇。對于那些已經(jīng)使用CheckPoint更廣泛產(chǎn)品組合的其他部分的人來說，這也是一個明顯的選擇。在這種情況下，互操作性會很強。

關(guān)鍵價值/差異化因素：

•CheckPoint于2018年10月以1.75億美元收購了Dome9 Arc平臺，此后更名為CheckPoint CloudGuard Dome9。

•組織的一個主要優(yōu)勢是實時了解云計算資產(chǎn)合規(guī)性以及與行業(yè)最佳實踐保持一致。

•平臺的主要區(qū)別之一是身份和訪問管理(IAM)集成，可用于幫助保護工作負(fù)載，并在需要時為特定工作負(fù)載提供及時的權(quán)限提升。

•補救是另一個核心要素，可幫助企業(yè)修復(fù)差距和錯誤配置以實現(xiàn)合規(guī)性。

•啟用合規(guī)性報告，并提供可提供給審核員的可打印狀態(tài)報告。

3.Lacework

潛在買家的價值主張。對于關(guān)注多個云平臺的合規(guī)性以及檢測潛在的異常值和惡意項目的組織，Lacework是一個很好的選擇。

關(guān)鍵價值/差異化因素：

•除了合規(guī)性之外，Lacework的關(guān)鍵區(qū)別在于其Polygraph功能，它可以直觀地表示云計算工作負(fù)載、API和賬戶角色之間的關(guān)系，以提供適當(dāng)?shù)膱鼍啊?/p>

•在合規(guī)性方面，Lacework可以監(jiān)控云工作負(fù)載，以實現(xiàn)互聯(lián)網(wǎng)安全中心(CIS)云計算基準(zhǔn)定義的安全配置，以及監(jiān)控包括PCI-DSS和HIPAA在內(nèi)的框架的合規(guī)性。

•持續(xù)合規(guī)性是Lacework平臺的關(guān)鍵屬性，使用戶能夠隨時跟蹤合規(guī)趨勢。

•集成安全功能為基于主機的入侵檢測(HID)和文件完整性監(jiān)控(FIM)提供控制。

4.CloudPassage Halo

潛在買家的價值主張。CloudPassage Halo旨在幫助任何規(guī)模的企業(yè)識別和修復(fù)云風(fēng)險。

關(guān)鍵價值/差異化因素：

•CloudPassage為在本地運行的工作負(fù)載以及跨公共云或混合云部署的工作負(fù)載提供自動安全可見性和合規(guī)性監(jiān)控。

•Halo平臺有助于識別和監(jiān)控多個合規(guī)框架的云資產(chǎn)，包括CIS AWS Foundations Benchmark、HIPAA、ISO 27001、NIST 800-53、NIST 800-171、HIPAA和PCI DSS。

•集成的安全功能還有助于實現(xiàn)合規(guī)性，Halo特別適用于PCI DSS，包括文件完整性監(jiān)控、配置管理、入侵檢測和日志管理功能。

•云計算服務(wù)管理(CSM)和軟件漏洞評估工具是該平臺的關(guān)鍵差異化因素，使組織能夠真正了解不同類型的云應(yīng)用程序工作負(fù)載的最大風(fēng)險。

5.Nutanix Xi Beam

潛在買家的價值主張。對于已經(jīng)購買了Nutanix云計算產(chǎn)品組合的其他元素的組織來說，Xi Beam是一個明顯的選擇，同時它仍然是一個堅實的獨立選項。

關(guān)鍵價值/差異化因素：

•Xi Beam的一個主要功能是全局摘要儀表板，它在全球范圍內(nèi)顯示所有賬戶的云計算運行狀況，可針對不同的粒度級別進行自定義。

•GDPR、PCI-DSS、HIPAA和CIS基準(zhǔn)測試的法規(guī)遵從性監(jiān)控和審核檢查是該平臺的一部分，具有250多項自動審核檢查。

•能夠通過合規(guī)性摘要隨時查看趨勢，直觀地顯示不同合規(guī)性要求的合規(guī)性。

•Xi Beam的主要區(qū)別之一是能夠通過python腳本創(chuàng)建自定義策略，以實現(xiàn)最佳實踐和配置。

•可以安排合規(guī)性審計報告，以便每日、每周、每月向利益相關(guān)方發(fā)送。

6.Qualys Cloud Platform