云计算发展迅速,已经成为软件生态系统的重要组成部分。随着这种增长,它逐渐符合ISO,PCI-DSS和HIPPA等标准,这使很多人建立了信心,可以在安全性方面信任云计算。但是您是否曾经想过,云计算是否还能帮助您在云计算中运行的应用程序变得合规?本文将帮助您了解云计算的合规性,以及它如何使您的应用程序符合国际标准。由于合规性是一个更广泛的主题,因此我将以PCI-DSS 为例来演示该主题的详细信息。
云计算合规的意义
如果您查看所有领先的云计算软件,例如AWS和Azure,它们将保持最高国际标准的合规性。遵守法规是建立与其消费者的信任关系的一种方式,可以给用户带来安全感和他们提供的服务的质量。就标准而言,云计算将对基础架构及其各自管理机构提供的服务进行合规性处理。
在继续之前,如果您还没有听说过PCI-DSS,请允许我简要地解释一下。支付卡行业数据安全标准(PCI-DSS)是使使用信用卡在线支付更安全的标准。任何符合该标准的应用程序都可以确保遵循行业最佳实践安全地存储和传输信用卡数据。
例如,如果我们采用PCI-DSS,则AWS和Azure都符合最高级别的 PCI安全软件标准。具有合规性可确保云平台在运行大规模支付处理工作负载方面具有合规性。
但这是否意味着如果您的应用程序在云平台上运行,则默认情况下符合PCI-DSS?遗憾的是,答案是“不!”。因此,您还负责分别管理您的应用程序对PCI-DSS的合规性。
这是否意味着任何符合特定标准的云计算对于应用程序而言都没有必要遵循相同的标准?为了回答这个问题,让我们看一下云安全模型是如何工作的。
云安全是共同的责任
如果您搜索任何领先的云计算的云安全性,都会碰到这句话;这是共同的责任。承担共同责任意味着云计算完全负责基础物理基础架构,逻辑基础架构(虚拟化)和更高级别的服务(例如API管理,身份提供商),云客户需要对应用程序逻辑的安全性负责,按照推荐的最佳做法使用云服务的方式。
例如,如果我们以PCI-DSS为例,而您在不使用SSL的情况下将信用卡数据传输到服务器,或者在未配置SSL的情况下在云端进行了更高级别的服务(如API管理),则违反了安全传输付款信息的标准最佳做法。符合PCI-DSS要求的云计算在这里无济于事。
云合规性和应用合规性
分担责任模型也适用于您的应用合规性。使您的云计算符合标准确实可以在您的应用符合法规的过程中为您提供帮助。
例如,如果我们采用PCI-DSS,则可以依靠云计算的基础架构和服务来存储,处理或传输持卡人数据。由于您需要分别管理应用程序的PCI-DSS合规性认证,因此,作为合规性认证过程的一部分,它将需要执行其他测试以验证您的环境满足所有PCS-DSS要求。在这里了解您的责任至关重要。
云计算不会直接存储,传输或处理任何客户持卡人数据(CHD)。您负责使用云基础架构和服务创建持卡人数据环境(CDE)。
这里的优势在于,由于云计算是合规的,因此您的合格安全评估员(QSA)可以依靠云计算的合规证明(AOC),而无需进行进一步的测试。
依靠云计算的合规性,AOC通过与云计算分担一些职责来减少应用程序合规的开销。
通过上述介绍,大家对云计算的合规性如何影响应用程序的合规性已经知晓了吧,想了解更多关于云计算的信息,请继续关注中培伟业。