未能滿足合規(guī)性要求，可能會(huì)導(dǎo)致企業(yè)被驅(qū)逐出協(xié)會(huì)團(tuán)體，被監(jiān)管機(jī)構(gòu)處以巨額罰款，最糟糕的情況是被法院起訴。無(wú)論是在內(nèi)部部署設(shè)施還是在云中，合規(guī)性監(jiān)控都是一項(xiàng)關(guān)鍵實(shí)踐。

合規(guī)性監(jiān)控涵蓋從數(shù)據(jù)庫(kù)到網(wǎng)絡(luò)的各個(gè)領(lǐng)域，以及從應(yīng)用程序更新到事件響應(yīng)的任務(wù)。要構(gòu)建云計(jì)算合規(guī)監(jiān)控策略，首先要了解影響企業(yè)業(yè)務(wù)的法規(guī)或標(biāo)準(zhǔn)。然后，根據(jù)特定的合規(guī)性要求和使用的云平臺(tái)實(shí)施監(jiān)控實(shí)踐和工具。

了解合規(guī)性要求

每個(gè)行業(yè)都有自己的規(guī)定以及頒發(fā)認(rèn)證和認(rèn)可的機(jī)構(gòu)，而政府部門則執(zhí)行相應(yīng)用法規(guī)和標(biāo)準(zhǔn)。為了追蹤這些情況，企業(yè)的法律部門應(yīng)該有一份適用的合規(guī)性標(biāo)準(zhǔn)清單。一些企業(yè)還設(shè)有合規(guī)官這樣的職位，也可能有一個(gè)內(nèi)部審計(jì)小組。

常見的合規(guī)標(biāo)準(zhǔn)或法規(guī)包括GDPR、薩班斯-奧克斯利法案、HIPAA和PCIDSS。

每個(gè)合規(guī)標(biāo)準(zhǔn)都有一套相關(guān)的必須遵循的程序，以及要應(yīng)用的保護(hù)措施。云合規(guī)性監(jiān)控是收集和組織有關(guān)這些程序和保護(hù)措施的數(shù)據(jù)的問(wèn)題。

主要的監(jiān)控任務(wù)

云中的合規(guī)性監(jiān)控需要執(zhí)行多項(xiàng)任務(wù)，其中包括：

• 應(yīng)用程序訪問(wèn)監(jiān)控
• 數(shù)據(jù)庫(kù)保護(hù)和監(jiān)視
• 應(yīng)用程序變更管理
• 事件管理和升級(jí)
• 網(wǎng)絡(luò)監(jiān)控和安全
• 日志監(jiān)控和管理

一種常見的策略是使用云計(jì)算和網(wǎng)絡(luò)監(jiān)控工具收集的數(shù)據(jù)來(lái)創(chuàng)建所有這些領(lǐng)域的合規(guī)狀態(tài)的集中視圖。這種方法與當(dāng)前的云計(jì)算和網(wǎng)絡(luò)監(jiān)控實(shí)踐非常吻合。

要啟動(dòng)云合規(guī)性監(jiān)控策略，需要?jiǎng)澐稚鲜鋈蝿?wù)，有些是設(shè)計(jì)時(shí)的考慮。在這里，應(yīng)用程序?qū)⒏鶕?jù)開發(fā)人員構(gòu)建它的方式來(lái)符合合規(guī)性標(biāo)準(zhǔn)。其他是運(yùn)行時(shí)考慮的主要因素，這意味著應(yīng)用程序需要在操作期間進(jìn)行監(jiān)視以驗(yàn)證合規(guī)性。企業(yè)應(yīng)用于其云計(jì)算應(yīng)用程序的特定工具和程序取決于合規(guī)性要求如何映射到這些類別。

將設(shè)計(jì)時(shí)合規(guī)性標(biāo)準(zhǔn)強(qiáng)制實(shí)施到開發(fā)管道中，并通過(guò)日志記錄和版本監(jiān)控對(duì)其進(jìn)行驗(yàn)證。前者需要一種系統(tǒng)的方式來(lái)啟動(dòng)、執(zhí)行、審查、測(cè)試和部署云計(jì)算軟件。企業(yè)的團(tuán)隊(duì)必須確定執(zhí)行和記錄每個(gè)適用標(biāo)準(zhǔn)要求的工具。在應(yīng)用程序設(shè)計(jì)和開發(fā)期間，開發(fā)人員應(yīng)將事件或日志觸發(fā)器插入代碼中，以使合規(guī)性事件對(duì)監(jiān)控工具可見。

用于軟件安全和管道管理的工具，例如Veracode和Checkmarx，有助于實(shí)施設(shè)計(jì)時(shí)合規(guī)性要求。審計(jì)軟件和數(shù)據(jù)實(shí)踐的工具，包括Momentum QMS、Synopsys的Black Duck和Gensuite，都是一些有用的補(bǔ)充。它們并不特定于特定的云平臺(tái)?？刂朴脩魩羧绾卧L問(wèn)云計(jì)算應(yīng)用程序和資源的合規(guī)性管理工具也可能很有用，例如Active Directory、LDAP和應(yīng)用程序訪問(wèn)控制或零信任工具。

云計(jì)算團(tuán)隊(duì)可以使用IT日志和事件管理工具和實(shí)踐來(lái)確認(rèn)設(shè)計(jì)時(shí)合規(guī)性。例如，日志分析可以通過(guò)未經(jīng)授權(quán)的訪問(wèn)檢測(cè)記錄備份是否的合規(guī)性違規(guī)行為。其目標(biāo)是驗(yàn)證在應(yīng)用程序設(shè)計(jì)期間建立的實(shí)踐，確保成功實(shí)施，并識(shí)別任何遺漏或錯(cuò)誤的地方。日志聚合、管理和監(jiān)控工具包括來(lái)自Dynatrace、SumoLogic、SolarWinds和其他公司的產(chǎn)品。

云合規(guī)監(jiān)控工具

缺乏IT管理和監(jiān)控工具的小型企業(yè)應(yīng)該考慮結(jié)合監(jiān)控和合規(guī)策略分析的工具。這些工具具有顯著的易用性優(yōu)勢(shì)。但它們可能只支持某些標(biāo)準(zhǔn)和云平臺(tái)。

如果企業(yè)的合規(guī)性要求僅限于通用標(biāo)準(zhǔn)，例如GDPR或HIPAA，那么很容易找到可以從云托管應(yīng)用程序收集數(shù)據(jù)并以標(biāo)準(zhǔn)、特定方式報(bào)告調(diào)查結(jié)果的監(jiān)控工具。一些工具是特定于云計(jì)算提供商的，例如為AWS設(shè)計(jì)的Dash ComplyOps。例如Kion(以前稱為cloudtamer.io)其他工具，可以提供廣泛的合規(guī)性監(jiān)控和映射功能，以及云計(jì)算管理功能。Kion支持特定的合規(guī)標(biāo)準(zhǔn)，以及企業(yè)可以通過(guò)策略與合規(guī)標(biāo)準(zhǔn)相關(guān)的通用監(jiān)控。

如果找不到適合要求的云合規(guī)監(jiān)控工具，同時(shí)使用多個(gè)云監(jiān)控工具來(lái)收集適當(dāng)?shù)男畔ⅰ０踩O(jiān)控通常是合規(guī)監(jiān)控的一個(gè)組成部分。來(lái)自IT供應(yīng)商(如SolarWinds和NetApp)的通用工具通?？梢酝瓿蛇@項(xiàng)任務(wù)。云計(jì)算提供商的日志工具或集中式日志工具通常會(huì)提供超出安全合規(guī)性的合規(guī)性數(shù)據(jù)。云供應(yīng)商的示例包括其集中式日志記錄服務(wù)中的Amazon Cloud Watch日志或Azure Monitor的一組分析和管理功能。在這些情況下，企業(yè)可能需要人工過(guò)程來(lái)收集和解釋收集的數(shù)據(jù)。

如果一家企業(yè)只使用一家云計(jì)算提供商的云計(jì)算服務(wù)，那么收集和分析合規(guī)性數(shù)據(jù)的步驟相當(dāng)簡(jiǎn)單。在多云和某些混合云部署中，企業(yè)可能需要獨(dú)立監(jiān)控每個(gè)云部署并通過(guò)離線分析工具關(guān)聯(lián)數(shù)據(jù)。

云計(jì)算承諾會(huì)隨著時(shí)間而改變，而記錄可以用于選擇工具和方法的所有流程和選擇標(biāo)準(zhǔn)。