混合云中合规管理的思考
在云合规方面,组织希望遵守各种公共法规和基准,例如 CIS、HIPAA 和 NIST 网络安全框架。这些标准可以帮助支持一系列目标,包括有效的审计以确保安全、与行业最佳实践保持一致以及提高实施成熟度。当企业面对合规性改进的时候,云安全从业者需要采取一系列措施,这些措施会对软件开发和云部署过程的许多方面产生影响。
首先,团队必须确定基准的哪些方面适用于他们对云的使用。他们还必须确定他们的开发、CI/CD 以及可观察性工具和功能需要如何发展。然后,他们必须进行内部审计并修复任何未达到最佳实践或合规要求的云基础设施使用。以下是实现这一目标的几个关键能力:
云资产可见能力
许多团队对其云资产的可见性都是有局限的。 较大的组织往往有跨多个区域、多个帐户、多个云提供商的项目。 团队经常使用多种工具,这些工具只能提供零碎的可见性并增加运营开销。 如果没有清晰的可见性,根本不可能对云资产进行治理。
帐户和资源统深度标签化管理
如今,大型组织通常拥有分散的团队,团队可能在许多业务线中使用许多帐户。 鉴于此,即使满足基本要求(例如确保对象存储桶的配置一致且合规)也可能具有挑战性。 如果良好的治理就像爬山,那么有效的标记程序是第一个立足点。 团队可以通过有效的标记将资源,甚至是短暂的资源映射到各自的负责人。 他们还可以轻松识别这些资源服务于哪些环境(开发、测试、生产)和应用程序。
基于规则的云上操作检验
在管理云上资源时团队可以使用各种技术。例如,他们可以通过一些自动策略将 CI/CD 过程和资源联动。还可以尝试通过发布行命令、限制对特定形式的资源访问或实施流程变更来。随着时间的推移,这些针对资源的动作资源不太可能在不断变化的威胁和风险环境中得到适当的管理,因此我们需要保持一个可管理的规则体系,来不断的校验这些动作是否始终保持预期的状态。
变化的持续性管理
虽然部署阶段的流程和工具改进是必不可少的,但建立监控合规状态和在发生变化时快速做出反应的能力更为关键。鉴于上述挑战,尤其如此。团队需要全面了解其合规状态的状态,并利用这种可见性来推动行为改变。该领域的产品倾向于专门提供与特定标准相关的一些报告,并提供不同级别的多云支持。这些产品通常可以提供一定程度的可观察性,并且在许多情况下,可以提出有助于纠正违规行为的改进建议。
检测和响应能力
首先针对合规性问题的检测,我们应道做到自动的检测和自动通知相关负责人,并且针对性的给出问题解决方法。只有这样大规模云上资源的合规性管理才能得以落地。当然最理想的做法是实现全自动化,也就是发现问题后直接进行修复,但实际情况往往难以实现,其中充满挑战:
首先,补救措施需要得到充分检验,否则会给关键系统带来重大风险。
其次,有一些简单的做法,比如准备一些列的 Shell 脚本,但它不能很好地跨团队扩展并且难以理解。由于实施差异,每个尝试自动修复某类问题的新脚本都会成为额外的风险来源。
第三,脚本的方式往往不是底层的调用,所以在运行效率和带宽问题都存在很大问题。
版权声明: 本文为 InfoQ 作者【HummerCloud】的原创文章。
原文链接:【http://xie.infoq.cn/article/a1a657673b2c0af6b5ace2234】。文章转载请联系作者。
评论