Article / 文章中心

云战略合规性验证的 5 个最佳实践

发布时间:2022-07-07 点击数:95

关于合规的棘手问题之一是规则总是在变化。不仅大多数合规框架会定期更新,而且还会引入新的合规框架,例如近年来的GDPR 和 CCPA/CPRA

对于云架构师和开发人员来说,这种模式引出了一个问题:您如何确保您的云环境不仅符合您今天需要满足的规则,还符合未来可能出现的规则?您如何避免由于合规性要求的意外变化而不得不颠覆您的云战略?

当然,这些问题没有简单的答案。但是通过战略性地思考云环境的设计和管理方式,可以对您的云进行“合规性证明”,这意味着运行一个满足未来合规性要求的云,即使您目前不知道这些要求可能是什么。

这里有五个这样的技巧可以帮助使 云长期兼容。

1. 隔离云工作负载

您运行的应用程序越多,就越难确保这些应用程序符合合规性规则——尤其是如果每个应用程序都不同,因此必须以不同的方式进行保护和评估。

这就是为什么以尽可能隔离工作负载的方式设计云环境是最佳实践的一个原因(还有其他原因)。在 Kubernetes 中,这意味着为每个工作负载创建不同的命名空间——或者在可能的情况下创建集群。对于云虚拟机服务,这意味着每个虚拟机实例坚持一个应用程序。对于数据存储,这意味着为每个数据集创建不同的存储桶。等等。

您对工作负载的结构化方式越细化,就越容易单独审核每个工作负载,以及以未来合规性规则可能规定的任何方式保护每个工作负载。

2.标签,标签,标签

在大多数情况下,您可以将“标签”应用于各种云资源。标签允许您命名和标记资源,以便您以后可以更轻松地找到它们。

除了赋予更高的计费可见性等好处外,标签在合规性证明中也发挥着重要作用。它们有助于确保您可以轻松找到所有工作负载,如果您需要识别某些工作负载,这可能很重要,因为新的合规要求适用于它们。如果没有标签,弄清楚如何部署新的合规性规则的过程会更加混乱。

3.打开审计

您今天可能不需要审核给定的云工作负载。但是,如果未来合规性规则发生变化,那么该工作量很可能需要审计。

出于这个原因,启用云审计服务(如AWS Audit Manager或 Kubernetes 审计日志)是一种最佳实践,即使您还不需要它们。至少,您至少应该确保您的工作负载以这样一种方式进行配置,以便它们在将来需要时与审计工具兼容。您不想发现突然要求您对给定的工作负载执行审计,但除非您彻底检查工作负载,否则您不能这样做。

4. 确保应用程序和数据可以迁移到新的云区域

您也不想发现您需要在特定地理区域中托管应用程序或数据 - 这可能是由于数据主权要求- 但您不能因为需要迁移的区域不支持工作负载.

一般来说,这不是主要风险,因为大多数主要公共云的大多数区域都支持所有主要的云计算服务。但也有例外。例如,AWS CodeGuru 目前仅在 AWS 云区域的子集中受支持,如果由于新的合规性规则而需要在不受支持的区域中运行它,这可能会带来挑战。

5. 使用多云工具

从合规性证明的角度来看,用于监控、安全、审计和其他功能的工具在跨多个云工作时是最好的。

这是因为,如果您需要将工作负载移动到不同的云来满足不断变化的合规性规则,理想情况下您不必采用一套全新的管理工具来执行此操作。

仅适用于特定云平台的工具(在大多数情况下,是云供应商自己提供的工具)有其用途。它们可能对执行基本的管理任务很有用,而且它们通常很容易部署和配置。但是,为了获得最大的长期合规性保证,优先考虑跨任何云工作的工具。

结论

合规规则因其本质而变得复杂。但是,当您无法轻松满足它们时,它们会变得更加复杂,因为规则已经更新并且您现有的云工作负载不再与新要求兼容。

好消息是,您可以采取措施确保您的云环境能够轻松适应不断变化的合规环境,从而降低这种风险。启用云审计、一致地标记资源和隔离云工作负载等策略可帮助您实现目标。