如何进行云计算的合规性监控
2022-03-24 13:33:05来源:e-works
未能满足合规性要求,可能会导致企业被驱逐出协会团体,被监管机构处以巨额罚款,最糟糕的情况是被法院起诉。无论是在内部部署设施还是在云中,合规性监控都是一项关键实践。
合规性监控涵盖从数据库到网络的各个领域,以及从应用程序更新到事件响应的任务。要构建云计算合规监控策略,首先要了解影响企业业务的法规或标准。然后,根据特定的合规性要求和使用的云平台实施监控实践和工具。
了解合规性要求每个行业都有自己的规定以及颁发认证和认可的机构,而政府部门则执行相应用法规和标准。为了追踪这些情况,企业的法律部门应该有一份适用的合规性标准清单。一些企业还设有合规官这样的职位,也可能有一个内部审计小组。
常见的合规标准或法规包括GDPR、萨班斯-奥克斯利法案、HIPAA和PCIDSS。
每个合规标准都有一套相关的必须遵循的程序,以及要应用的保护措施。云合规性监控是收集和组织有关这些程序和保护措施的数据的问题。
主要的监控任务云中的合规性监控需要执行多项任务,其中包括:
应用程序访问监控数据库保护和监视应用程序变更管理事件管理和升级网络监控和安全日志监控和管理一种常见的策略是使用云计算和网络监控工具收集的数据来创建所有这些领域的合规状态的集中视图。这种方法与当前的云计算和网络监控实践非常吻合。
要启动云合规性监控策略,需要划分上述任务,有些是设计时的考虑。在这里,应用程序将根据开发人员构建它的方式来符合合规性标准。其他是运行时考虑的主要因素,这意味着应用程序需要在操作期间进行监视以验证合规性。企业应用于其云计算应用程序的特定工具和程序取决于合规性要求如何映射到这些类别。
将设计时合规性标准强制实施到开发管道中,并通过日志记录和版本监控对其进行验证。前者需要一种系统的方式来启动、执行、审查、测试和部署云计算软件。企业的团队必须确定执行和记录每个适用标准要求的工具。在应用程序设计和开发期间,开发人员应将事件或日志触发器插入代码中,以使合规性事件对监控工具可见。
用于软件安全和管道管理的工具,例如Veracode和Checkmarx,有助于实施设计时合规性要求。审计软件和数据实践的工具,包括Momentum QMS、Synopsys的Black Duck和Gensuite,都是一些有用的补充。它们并不特定于特定的云平台。控制用户帐户如何访问云计算应用程序和资源的合规性管理工具也可能很有用,例如Active Directory、LDAP和应用程序访问控制或零信任工具。
云计算团队可以使用IT日志和事件管理工具和实践来确认设计时合规性。例如,日志分析可以通过未经授权的访问检测记录备份是否的合规性违规行为。其目标是验证在应用程序设计期间建立的实践,确保成功实施,并识别任何遗漏或错误的地方。日志聚合、管理和监控工具包括来自Dynatrace、SumoLogic、SolarWinds和其他公司的产品。
云合规监控工具缺乏IT管理和监控工具的小型企业应该考虑结合监控和合规策略分析的工具。这些工具具有显著的易用性优势。但它们可能只支持某些标准和云平台。
如果企业的合规性要求仅限于通用标准,例如GDPR或HIPAA,那么很容易找到可以从云托管应用程序收集数据并以标准、特定方式报告调查结果的监控工具。一些工具是特定于云计算提供商的,例如为AWS设计的Dash ComplyOps。例如Kion(以前称为cloudtamer.io)其他工具,可以提供广泛的合规性监控和映射功能,以及云计算管理功能。Kion支持特定的合规标准,以及企业可以通过策略与合规标准相关的通用监控。
如果找不到适合要求的云合规监控工具,同时使用多个云监控工具来收集适当的信息。安全监控通常是合规监控的一个组成部分。来自IT供应商(如SolarWinds和NetApp)的通用工具通常可以完成这项任务。云计算提供商的日志工具或集中式日志工具通常会提供超出安全合规性的合规性数据。云供应商的示例包括其集中式日志记录服务中的Amazon Cloud Watch日志或Azure Monitor的一组分析和管理功能。在这些情况下,企业可能需要人工过程来收集和解释收集的数据。
如果一家企业只使用一家云计算提供商的云计算服务,那么收集和分析合规性数据的步骤相当简单。在多云和某些混合云部署中,企业可能需要独立监控每个云部署并通过离线分析工具关联数据。
云计算承诺会随着时间而改变,而记录可以用于选择工具和方法的所有流程和选择标准。