图片 1

如何确定保障云计算的合规性

根据英国软件公司Advanced发布的一份最新报告显示,网络安全和数据保护问题正在削弱企业对云的信心。

云计算的合规性可以确保云计算服务满足用户的合规性要求。但是,采用云计算服务的企业不应假设每个云计算公司都能满足其独特需求,因为他们提供的与合规性相关的服务产品各不相同。

根据该公司的研究,接受调查的一半英国组织担心安全问题,而45%的人担心数据保护及其数据的地理位置。最近引人注目的攻击甚至使28%的企业无法使用云计算。

数据传输、存储、备份、检索和访问需要符合云计算合规性。虽然IT部门往往负责实施合规性,但可能涉及其他职能部门。这种参与包括决策、监控、审计、治理、安全、数据保护、风险管理,以及法律。

许多公司尚未使用云计算,24%的公司根本没有云计算经验,这表明技术提供商可以通过向公司保证云计算的优势来扩展业务。

合规性是一个非常严肃的话题,应该得到深入的理解,因为合规性失败可能导致监管罚款、诉讼、网络安全事件,以及声誉损害。因此,了解云计算提供商提供的服务和企业要求的详细信息非常重要。

Advanced的调查还强调了这样一个事实,即88%的受访者认为云提供商需要做更多工作来建立云采用的可信度。当谈到云提供商的关键属性时,安全性排名高于云采用的通常收益,71%的公司寻求安全性,其次是合规性,灵活定价和可扩展性。

本文概述了云计算合规性的注意事项,并列出了全球三大主要云计算服务提供商Amazon
Web Services、Microsoft Azure、Google
Cloud中常见的一些服务。有兴趣采购云合规服务的组织应访问相应服务提供商的网站以获取新信息。

调查结果表明,许多企业尚不清楚云的实际安全性。云提供商在如何保护客户数据方面不够透明。随着网络安全和合规性事件一次又一次成为新闻头条,导致企业对上述问题心有余悸。但是这些迹象也表明,云服务提供商更应该围绕云的误解,向企业传达出更为明确的信息与答案。

图片 1

网络安全不应再被视为云采用的障碍 –
实际上恰恰相反,成熟的云服务在响应速度以及应对整体网络威胁形势复杂性上独具优势。这也意味着,以正确的方式管理云将获得比任何其他服务更为安全的平台。因此,云服务提供商需要更好地传达他们的安全责任,并支持企业在云中得到更好的保护。事实上,他们更应该将安全性和合规性定位成主要的销售因素展开推广。

云计算合规性问题包括客户合规性和服务合规性管理。

云计算合规性:关键考虑因素

当人们考虑云计算合规性时出现的首要问题之一是用户不用管理自己的基础设施。

如果出现问题,企业将外包作为防御措施是行不通的。实际上,包括AWS和Microsoft
Azure在内的云计算提供商强调了云计算合规性是双重责任这一事实。虽然他们对用户有一定的合同责任,但用户须注意自己的较佳利益。这包括为用户的要求选择正确的服务,正确处理用户控制的配置等。

确保云计算合规性的其他一些考虑因素包括:

•数据。确定在云平台中存储的内容以及原因。

•数据位置。审核员可能会询问数据的位置,但云计算服务提供商可能不会透露该信息。

•资产管理。云计算服务提供商负责管理其基础设施资产,企业负责管理自己的资产,包括托管的操作系统和应用程序。

•系统和数据访问控制。合规性往往涉及数据安全性。企业应该了解哪些人可以采用其云计算服务提供商的服务,并访问哪些内容。

•配置管理。例如,如果企业错误配置AWS S3存储桶,则由自行承担错误。

•数据加密。保持合规性通常意味着在静止和运动中加密数据以保护它。

•共享或私有资源。根据企业的特定合规性要求,可能需要云计算服务提供商的数据中心中的私有数据中心套件。

•服务水平协议。适用于企业的法律和法规可能有服务级别协议要求。这可能会限制其可以使用的服务类型。

•数据保护。了解云计算提供商保护企业的信息的程度非常重要。

•合规性认证和法律认可的替代品。并非所有云计算合规性服务都能够通过认证。如果由于某种原因无法进行认证,云计算提供商可能会找到一种符合标准的方法,例如遵守更严格的标准。

•审计。了解哪些第三方审核云计算合规性并阅读报告。还要了解企业是否有权审核云合规性。

•事件响应。了解潜在事件的范围以及如果出现这些类型的事件(例如,接收警报和响应速度),应采取何种类型的事件响应。

•电子发现功能。这是一个法律问题,而不是监管问题。如果企业发现自己处于任何类型的诉讼中,将需要快速访问所请求的数据,并且只访问所请求的数据。

•安全要求。企业应该了解通常选择正确的云计算服务所需的安全形式。出于合规性目的,需要了解法律或法规要求的安全级别。

•灾难恢复。发生电力中断。适用于企业的法律和法规可能具有特定的灾难恢复要求。

•尽职调查。了解如何处理定期尽职调查。

•信息资源。云计算服务提供商提供的信息资源差别很大。提供大量信息的那些可以帮助用户从一开始就成功实现云计算合规性。

•合规报告。了解用户可以访问和阅读的合规报告的范围。

云计算合规服务提供商可能涵盖的内容