云安全合规:5框架和4最佳实践

云安全合规是什么?

随着云计算应用、云平台、服务和云端的工作量预计将遵守越来越多的国际、国家级,和当地的法规,以及行业标准。不遵守这些规则可能会导致法律问题,罚款,罚款为云用户和其他不良后果。

随着景观的威胁变得更加复杂,云遵从性和安全性的重要性正日益增强。云安全合规管理是一组实践和技术可以确保组织符合监管要求,标准,和内部政策在云中,并保持审核他们的云环境。

本文简介:

• 云安全与合规的共同责任
• 5云遵从性和安全性框架
  • 云安全联盟控制矩阵
  • FedRAMP
  • 国家标准与技术研究院(NIST)
  • 国际标准化组织(ISO)
  • 云架构完善的框架
• 4云安全合规管理最佳实践
  • 评估的风险信息存储在云端
  • 为分享信息到云开发政策
  • 回顾云服务提供商的安全政策和程序
  • 备份和加密数据

云安全与合规的共同责任

云服务提供商是赋予确保云环境的客户,但他们无法控制如何组织使用他们的服务。云客户通常假定security-thus CSP是全责,他们未能实施强有力的政策和访问控制。

组织必须了解他们确保云环境中的一部分,特别是如果他们在云中存储或处理敏感数据。云安全漏洞往往缺乏实践和配置的结果。负责云安全的水平取决于类型的云service-public,私人,混合云部署有不同的安全需求。

客户有时是负责保护操作系统、应用程序和网络流量。不管云计算范畴,客户必须确保他们的访问和数据的安全。了解数据驻留在云中,谁可以访问它,什么是内部保护实际上是至关重要的。组织还必须理解CSP的义务和限制他们的安全责任。

同样,云提供商不仅仅是负责确保数据一致性。csp试图确保他们的平台和服务是兼容的,但是客户必须确保合规的存储应用程序,数据和第三方服务。

遵守安全法规一般需要持续的监控,定期测试,和云业务的定期审计。企业必须理解他们的角色在维持在云中法规遵从性,包括行业标准和政府规定如何影响他们的云流程和数据。

相关内容:阅读我们的导游IaaS安全(很快)

5云遵从性和安全性框架

云中的敏感数据的组织应坚持云安全与合规有关规定和标准。

云安全联盟控制矩阵

这些安全控制从云安全联盟帮助安全供应商提高他们的安全环境和简化审计。控制矩阵也帮助客户评估csp的安全状况。联盟的明星认证项目验证供应商的云安全水平与异常高的标准。明星也文档顶部云提供者的隐私和安全控制产品。

FedRAMP

任何组织与美国联邦政府合作必须符合这些云数据保护法规。实现FedRAMP合规通常是一个长期、艰巨的过程。组织必须提交一份系统安全评估和批准计划详细说明他们的控制。

国家标准与技术研究院(NIST)

NIST的标准主要是政府机构,但许多私人行业应用:

• NIST SP 500 - 291 (2011)编译可用的云计算标准,识别差距。
• NIST SP 500 - 293 (2014)提供一个详细的云基础设施安全性框架供政府使用。
• NIST SP 800 - 53年启5 (2020)——常用的信息系统安全标准,也与云环境有关。
• NIST sp - 800 - 210 (2020)细节云安全,访问控制,提供指导,帮助安全Paas和IaaS服务。

国际标准化组织(ISO)

ISO标准解决各种技术和系统安全,包括一些云安全标准:

• ISO / IEC 27001:2013- IT安全管理系统对于云的框架和其他应用程序。它还提供了指导审计云安全。
• ISO / IEC 27002: 2013细节的最佳实践来帮助实现ISO 27001标准的安全控制。
• 22678:2019 ISO / IEC技术报告云提供政策指导方针。

云架构完善的框架

良好的框架构建云环境提供最佳实践指导。例子包括:

• AWS的良好框架帮助AWS建筑师为亚马逊的云基础设施设计应用程序和工作负载。它提供了一个清单评估云架构基于可靠性的关键原则,安全、性能、成本优化和卓越运营。
• 谷歌云架构框架云架构师会帮助构建和提高谷歌云产品。
• Azure架构框架指导与微软Azure云架构师工作。雷竞技地址ray它帮助最大化工作负载,保护数据,并确保复苏期间的失败。

4云安全合规管理最佳实践

评估的风险信息存储在云端

在决定使用云服务以及数据或工作负载迁移到云中,一个组织必须决定哪些信息可以安全地迁移。

如果你的评估发现不可接受的风险,考虑混合云的方法。这允许您继续运行敏感或有风险的过程在一个私有云或本地物理服务器。数据和工作负载,不引入不可接受的风险可以移动到云,结合本地资源跨安全通道。雷竞技rabet官网

为分享信息到云开发政策

一旦你确认数据或工作负载,可以减轻到云,你需要开始管理相关的风险。

建立一个政策允许您选择云提供商,云服务、部署模型,应用适合您的需求。进行仔细的尽职调查你的云提供商和服务提供商如SaaS供应商,了解安全实践和内部控制,他们将适用于您的信息。

回顾云服务提供商的安全政策和程序

ISO / IEC 27017和ISO / IEC 27018标准涵盖信息安全实践对于云服务。尽职调查安全政策和程序通常意味着审查云服务提供商对ISO / IEC 27017认证,如果你打算在云中存储个人身份信息(PII),检查符合ISO / IEC27018。

此外,您可以使用以下指南评估云提供商安全:

• 客户指导方针由云共享标准委员会(CSCC)。
• 喜欢云提供商符合ISO / IEC 27001和27002(尽管这不是特定于云的标准)。
• 复习策略和流程如日志保留政策,访问权限策略和变更管理流程。

备份和加密数据

云存储是一个快速的、可移植的方法来管理组织的数据。然而,它也需要访问控制和健壮的备份数据的方法。大多数云提供商提供数据复制和高可用性,需要配置这些设置水平适合您的数据保护的义务。

数据加密是一个关键的保护对网络安全的威胁。然而,单纯依赖厂商在云世界可能会有风险。它不合理使用提供者的加密如果你相信云提供商可能不得不授权访问您的数据,一个外国国家或其他方面的考虑。管理自己的密钥通常是最好的方法。

云安全符合Spot.io