云原生合规

来自泡泡学习笔记
BrainBs讨论 | 贡献2023年8月25日 (五) 09:01的版本 (创建页面,内容为“ 依照监管和合规的指导设计一个具有适当安全控制措施的系统,保障了云原生资源的安全性。这样做也可以使得相关监管机构和审计人员的认证更加容易,尤其是如果在系统设计和规划中采用了插件模式来实现对各类监管的自动合规。虽然合规性通常需要使用安全基准(例如 NIST 应用容器安全指南,互联网安全中心(CIS),NIST 基于微服务的应用系统…”)
(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)
跳到导航 跳到搜索

依照监管和合规的指导设计一个具有适当安全控制措施的系统,保障了云原生资源的安全性。这样做也可以使得相关监管机构和审计人员的认证更加容易,尤其是如果在系统设计和规划中采用了插件模式来实现对各类监管的自动合规。虽然合规性通常需要使用安全基准(例如 NIST 应用容器安全指南,互联网安全中心(CIS),NIST 基于微服务的应用系统安全策略和 OpenSCAP),但需要注意的是,建议使用机器可读的合规性控制框架和语言。

采用和实施这些基准,使团队能够对使用安全基线进行加固的工作负载进行测试并且部署默认安全的工作负载。然而,这些安全基线没有考虑到正在测试平台的数据流和自定义使用情况,安全从业人员应将这些基线作为指南而不是清单来执行。

监管审计

许多金融、卫生、政府和其他实体需要遵守一套特定的系统保护要求。用户信任系统能保证他们的交互的私密性和安全性。每个组织都应该评估哪些监管标准适用于他们(例如 PCI-DSS、HIPAA、FedRAMP、GDPR 等)。然后,他们应决定监管标准如何适用于他们的云原生系统,以及他们将如何在根据实际情况实施这些标准。这种支持遵守特定标准的证据收集机制应尽可能通过不可抵赖性保证自动化。

角色和用例

重点是安全、保护、检测和尽可能的自动响应。它不仅仅是一个开发工具,还是一个透明地集成到开发流程中的安全工具,使得开发过程中就能够执行安全策略、快速反馈和直接补救。有关云原生安全用例的具体信息,请参考 TAG-Security 的用例列表

行业

企业

企业成功采用云原生模式的核心关注点是,在满足业务目标的同时,保持当前的流程和程序。当整个组织引入新的标准和实践时,保持互通性,将数据丢失、泄漏或其它安全风险控制在最低限度。

小微企业

小微企业成功采用云原生模式的核心关注点是,能否专注于短期目标,能否促进创新以应对激烈的竞争。资源、预算、技术深度和缺乏最佳实践阻碍了他们采用云原生解决方案的能力。小微企业需要可复制的模式和小步快跑的 IT 计划来解决这些挑战。

金融

金融行业成功采用云原生技术的核心关注点是,未经授权的信息泄露,欺诈和资金可用性。欺诈会直接影响到资金的可用性,而金融交易的完整性至关重要。

医疗保健

医疗保健行业成功采用云原生技术的核心关注点是,未经授权的信息泄露,记录的及时性、可用性以及准确性。根据医疗行业的性质和实践经验,记录及其相关内容的可用性是做出医疗决策的基础。在缺少这些信息的情况下,就需要发掘新的记录。

学术界和教育界

教育机构成功采用云原生技术的核心关注点是,可能的终端用户的需求。面向未成年人的机构有额外的法律要求以保护隐私,因此访问控制就非常重要。除此以外,各机构还会关注教育内容对终端用户的可用性。

公共部门

公共部门成功采用云原生技术的核心关注点是,安全、数据主权、合规性和供应商锁定。它们的阻碍来自机构为保护公共利益而制定的法规。对公共部门而言,维持公众和政府之间的和谐、信任是重中之重。此外,部署和功能的及时性也是一个重要的考虑因素。采用云原生,加上现代方法论,可以提高组织效率,这对公共部门的许多领域都非常重要。

用例:在欧盟法规下安全的保障金融机构运行v2 新增

云原生架构在公有云和私有云中已成为现代 IT 的标准解决方案,可以快速创新、大幅减少工作量为客户提供更多价值。对于金融等受监管行业而言,由于其遗留系统的复杂性以及监管机构提出的合规要求,这是一个巨大的挑战。让我们看看欧盟的三个主要机构:

  • EBA:“欧洲银行管理局”是一家独立机构,旨在确保欧盟银行领域的有效的、一致的审慎监管和监督。
  • EIOPA:“欧洲保险和职业养老金管理局”是欧盟金融监管机构。
  • ESMA:“欧洲证券和市场管理局”致力于证券法规和监管,以改善欧洲金融市场的运作,加强投资者的保护以及国家当局之间的合作。

以上各机构特别注意:

  • 灵活且安全的多云策略,
  • 具有可移植性和互操作性的坚实基础,
  • 访问权和审计权,
  • 数据安全,
  • 退出策略,
  • 风险评估和集中风险。

风险评估应考虑预期收益、安全、成本、业务连续性、法律、合规、运营和集中风险。执行风险评估非常适合设计合理的解决方案,以降低风险并增强运营弹性。此外,金融机构需要制定全面的退出计划,并将计划记录在案且经过充分测试。这些计划应按需进行更新,例如,当有任何服务进行了更改。

云原生架构通过微服务架构、服务网格、现代设计、容器、后端服务和高度自动化来满足上述法规和要求。微服务架构基于 Web 技术,创建抽象层实现了服务接口和可互操作系统的松耦合集成。当软件在从一个环境移动到另一个环境时,容器实现软件的可靠运行(一次构建,到处运行!)。容器编排通过抽象来构建通用的多云环境和行业标准(符合 CNCF)的容器管理平台,以避免云环境中的任何专有软件锁定。通过云原生集成,可以在现有云环境中复用相同的工具进行日志记录和监控。