如何進行云合規監控
未能滿足合規要求可能導致被行業團體開除、巨額罰款,最壞的情況是被起訴。合規性監控非常重要,無論是在本地還是在云端。
合規性監控涵蓋從數據庫到網絡的各個領域,以及各種任務-從應用程序更新到事件響應。為了構建云合規監控策略,首先要了解影響你業務的法規或標準。然后,根據你的特定合規要求以及你所使用的云平臺,部署監控做法和工具。
了解合規要求
每個行業都有法規要求,以及證書頒發機構和認證機構,政府機構也會頒布法規和標準。為了應對這些要求,公司的法律部門應該有一份合規標準清單。有些企業會有一名合規官,他們還可能有內部審計小組。
常見合規標準或法規包括GDPR、Sarbanes-Oxley法案、HIPAA和PCI DSS。
每個合規標準都有一組相關的程序,企業必須遵循,以及需要應用的保護措施。云合規性監控涉及收集和整理有關這些程序和保護措施的數據。
重點監控任務
云端合規監控包含多項任務,包括:
- 應用程序訪問監控
- 數據庫保護和監控
- 應用程序變更管理
- 事件管理和升級
- 網絡監控和安全
- 日志監控和管理
一種常見的策略是利用云和網絡監控工具收集的數據創建集中視圖,以了解所有這些域的合規狀態。這種方法非常適合當前的云和網絡監控實踐。
當你啟動云合規性監控策略時,請劃分上述任務。有些是設計時需要考慮的因素。在這種情況下,應用程序能否滿足合規標準,取決于開發人員構建它的方式。其他是運行時考慮因素,這意味著應用程序需要在操作期間進行監視以驗證合規性。企業為其云應用程序部署的特定工具和程序取決于合規性要求如何映射到這些類別。
企業應將設計時合規性標準強制實施到開發管道中,并通過日志記錄和版本監控對其進行驗證。前者需要一種系統的方式來啟動、執行、審查、測試和部署云軟件。團隊必須確定執行和記錄每個適用標準要求的工具。在應用程序設計和開發期間,開發人員應將事件或日志觸發器插入代碼中,以使合規性事件對監控工具可見。
針對軟件安全和管道管理的工具,例如Veracode和Checkmarx,可幫助執行設計時合規性要求。而審計軟件和數據實踐的工具則是有用的補充,包括Momentum QMS、Synopsys的Black Duck和Gensuite。它們并不是針對特定的云平臺。此外,控制用戶帳戶如何訪問云應用程序和資源的合規性管理工具也可能很有用,例如Active Directory、LDAP和應用程序訪問控制或零信任工具。
云團隊可以使用IT日志和事件管理工具及做法來確認設計時合規性。例如,日志分析可以通過未經授權的訪問檢測記錄備份是否完整或潛在的合規性違規。這里的目標是驗證在應用程序設計期間建立的做法,確保其成功實施,并識別任何遺漏或不正確的做法。日志聚合、管理和監控工具包括來自Dynatrace、Sumo Logic、SolarWinds和很多其他公司的產品。
云合規監控工具
缺乏 IT 管理和監控工具的小型企業應該考慮結合監控和合規策略分析的工具。這些具有顯著的易用性優勢。但它們可能只支持某些標準和云平臺。
如果一家公司的合規性要求僅限于通用標準,例如GDPR或HIPAA,那么很容易找到監控工具,從云托管應用程序收集數據并以標準、特定方式報告調查結果。有些工具是特定于云提供商,例如為 AWS 設計的Dash ComplyOps。其他工具,例如 Kion(以前稱為 cloudtamer.io),提供廣泛的合規性監控和映射功能,以及云管理功能。Kion支持特定的合規標準,以及通用監控-企業可以通過策略關聯合規標準。
如果你找不到滿足要求的云合規監控工具,則可同時使用多個云監控工具來收集適當的信息。安全監控通常是合規監控的組成部分。來自IT供應商(如SolarWinds和NetApp)的通用工具通常可以完成這項任務。云提供商的日志工具或集中式日志工具通常會提供超出安全合規性的合規性數據。云供應商的示例包括:亞馬遜Centralized Logging服務中的Amazon CloudWatch日志或Azure Monitor的分析和管理功能。在這些情況下,企業可能需要手動過程來收集和解釋收集的數據。
如果企業使用單一的云提供商,那么收集和分析合規性數據的步驟相當簡單。在多云和某些混合云部署中,企業可能需要獨立監控每個云部署,并通過離線分析工具關聯數據。
云承諾會隨著時間而改變。請記錄用于選擇工具和方法的所有流程和選擇標準。
來源:飛馬網
原文鏈接:https://coffee.pmcaff.com/article/Oak7DwR3LJ
