適用于多云世界的云合規策略
企業的云計算合規性不能存在差異,即使采用多個云計算提供商的云計算服務,因此企業需要實現合規性目標。
合規性從來都不是一件容易的事,企業的任何一個云計算承諾都可能讓合作伙伴的基礎設施中的一些應用程序、數據和流程陷入困境。尤其是多云模型,它為法規遵從性挑戰帶來新的維度,如果不加以解決,可能會使企業的整個計劃面臨風險。
云合規風險將分為三類:信息安全、網絡安全、法規遵從。解決這些問題是一個復雜過程,在這個過程中需要考慮偏離補救的條件,企業需要明白這一點。
毫無疑問,法規遵從性是復雜的,所以需要回顧一下使這項困難工作減輕負擔的策略和工具。此外,還需要熟悉許多支持IT安全性的框架。
使用云合規性
多云合規性的起點是企業當前的合規性模型和工具。這里的第一條規則是將其方法組織成一組特定的目標,然后將企業當前的實踐明確地與每個目標相關聯。這將確保企業涵蓋當前所有內容,并保留盡可能多的當前合規性實踐。安全性和法規遵從性始終是目標,但許多用戶希望實現減少成本和管理性能目標,以確保他們保護其多云業務案例。
多云是不同的,因為有多個自治托管域,每個云平臺和數據中心都各有一個。多云合規性規劃的目標是利用每個域中的合規性工具來完成共同任務。這意味著企業知道發生了什么(即云計算監控),并采取措施解決出現的任何問題。這些是云計算合規性過程中的條件和偏差。
此外,還應注意,多云環境中每個公共云提供商的性質和位置會影響云計算監管合規性方面的問題。企業的數據存在于特定國家/地區通常意味著遵守其管轄權,因此在企業采用更多云計算提供商的服務時,需要為遵守更多的法規做好準備。
監控是多云合規性實施的一個關鍵方面。多云監控工具隨時可用,其中包括Bitnami Stacksmith、New Relic、Stackify Retrace和Ulia。這些將有助于收集信息。一些監控產品進行日志分析,一些使用系統探針,一些使用應用程序探針。
企業也可以使用這些產品來監控自己的數據中心托管環境。這為企業提供了大多數合規團隊希望得到的統一合規策略。特定于應用程序的監視尤其有用,因為應用程序類型決定了信息類型,這是大多數信息安全和法規遵從性問題的基礎。
與提供商合作
企業使用監控數據和計劃目標來推動審核和修復的方式取決于其與云計算服務提供商的關系。
企業需要問一些重要問題:
- 企業的云域到底有多自治?
- 企業是將所有托管域,甚至其中幾個域視為獨立和并行環境?還是將它們視為資源池?
- 企業是否正在使用基本的IaaS式托管或某種托管云服務?
如果企業使用自治托管域的托管云服務,則需要協調服務合同中的云計算合規性保證,以使其中的每一個都相同。接下來,將與合同相關的監控集中在一個位置,即一種合規性控制臺。到目前為止,這是處理多云合規性的較簡單、較好的方法,企業的目標是簡化所涉及的技術步驟。
如果企業無法通過監控一組一致的合同來協調其多云合規流程,則需要通過構建在所有托管域之上的監控或管理層進行協調。這種方法取決于企業是否在公共云中管理容器服務(通常是托管的Kubernetes),或者企業是否在云中的虛擬機上進行部署。
如果采用容器方法進行應用程序部署,則通過協調技術層實現多云合規將更容易。 Kubernetes可用于數據中心、基礎設施即服務以及托管容器或Kubernetes服務。如果企業無法遷移到容器或者將它們與虛擬機混合使用,則適用相同的原則,但企業需要將DevOps工具(例如Chef、Puppet和Ansible)替換為Kubernetes編排。
企業的每個云平臺都是一個單獨的托管域,每個域都有自己的策略。基于先前引用的合規政策合同協調的相同工具的統一監控策略將在此處起作用。如果云計算的域是自治的,并且企業不希望在云計算提供商之間或云計算與數據中心之間進行擴展或故障轉移,則這種常見的監控方法應該足夠了。企業將希望結合前面描述的多云監控策略來完成這項工作。
如果企業計劃將多云用作資源池,則需要考慮創建一個企業范圍的策略集來描述如何移動應用程序和數據。這有時被稱為Kubernetes域的聯盟,它得到了谷歌新的Anthos服務以及Cloudify、Netapp、Platform9、Rancher和Terraform的支持。通過在域策略之上分層全局策略來創建聯合。
策略控制的域聯合將統一所有域的合規性流程,這意味著統一多云環境。一旦企業采用合同或聯合協調合規性,在多云合規性方面還有一個需要解決的問題,即托管域之外的東西,但同樣重要的是:網絡。
安全地公開資產
每個云計算提供商都會將內部元素分配給私有IP地址,然后提供網關機制,將外部訪問的組件的API映射到公共地址空間(如公司VPN或Internet)。這些資產如何公開是合規性的一個關鍵問題,因為與應用程序資產的非法連接肯定會危及信息安全。
企業遵循一些簡單的規則來正確建立網絡:
- 永遠不要公開不會在托管域外部訪問的API。沒有暴露的東西不需要提供特殊保護。
- 在公開API時,通過API代理或類似工具提供訪問安全性,尤其是當它暴露為允許與多云的另一部分中的組件連接時。
- 確保明確監視每個公開的API。這允許其用于記錄,并且它檢測任何濫用情況。具有顯式連接控制的SD-WAN產品可能是企業的網絡計劃中的一個重要元素,因此需要仔細查看其選項,以確保所選產品能夠支持云托管,并支持顯式連接權限和優先級策略。
作為云合規性討論的最后一點,請記住采用多云策略存在業務和技術原因。重要的是要根據多云部署的復雜性來衡量這些優勢,并確保企業的多云應用都受到其應用程序部署模型的保護。獲得這些好處也是一個多云合規性目標。
