云计算发展迅速,已经成为软件生态系统的重要组成部分。随着这种增长,它逐渐符合ISO,PCI-DSS和HIPPA等标准,这使您建立了信心,使您可以在安全性方面信任云。那么云计算提供商的合规性如何影响您的应用程序?本文将帮助您了解云合规性,以及它可能如何使您的应用程序符合国际标准。由于合规性是一个更广泛的主题,因此我将以 PCI-DSS 为例来演示该主题的详细信息。
云提供商合规的意义
如果您查看所有领先的云提供商,例如AWS和Azure,它们将保持最高国际标准的合规性。遵守法规是建立与其消费者的信任关系的一种方式,可以给用户带来安全感和他们提供的服务的质量。就标准而言,云提供商将对基础架构及其各自管理机构提供的服务进行合规性处理。
在继续之前,如果您还没有听说过PCI-DSS,请允许我简要地解释一下。支付卡行业数据安全标准(PCI-DSS)是使使用信用卡在线支付更安全的标准。任何符合该标准的应用程序都可以确保遵循行业最佳实践安全地存储和传输信用卡数据。
例如,如果我们采用PCI-DSS,则AWS和Azure都符合最高级别的 PCI安全软件标准。具有合规性可确保云平台在运行大规模支付处理工作负载方面具有合规性。
但这是否意味着如果您的应用程序在云平台上运行,则默认情况下符合PCI-DSS?遗憾的是,答案是“不!”。因此,您还负责分别管理应用程序对PCI-DSS的合规性。
这是否意味着任何符合特定标准的云提供商对于应用程序而言都没有必要遵循相同的标准?为了回答这个问题,让我们看一下云安全模型是如何工作的。
云安全是共同的责任
如果您搜索任何领先的云提供商的云安全性,都会碰到这句话;这是共同的责任。承担责任是指云提供商完全负责基础物理基础架构,逻辑基础架构(虚拟化)和更高级别的服务(例如API管理,身份提供商),云客户需要对应用程序逻辑的安全性负责,按照推荐的最佳做法使用云服务的方式。
例如,如果我们以PCI-DSS为例,而您在不使用SSL的情况下将信用卡数据传输到服务器,或者在未配置SSL的情况下在云端进行了更高级别的服务(如API管理),则违反了安全传输付款信息的标准最佳做法。符合PCI-DSS要求的云提供商在这里无济于事。
云合规性和应用合规性
分担责任模型也适用于您的应用合规性。使您的云提供商符合标准确实可以在您的应用符合法规的过程中为您提供帮助。
例如,如果我们采用PCI-DSS,则可以依靠云提供商的基础架构和服务来存储,处理或传输持卡人数据。由于您需要分别管理应用程序的PCI-DSS合规性认证,因此,作为合规性认证过程的一部分,它将需要执行其他测试以验证您的环境满足所有PCS-DSS要求。在这里了解您的责任至关重要。
云提供商不会直接存储,传输或处理任何客户持卡人数据(CHD)。您负责使用云基础架构和服务创建持卡人数据环境(CDE)。
这里的优势在于,由于云提供商是合规的,因此您的合格安全评估员(QSA)可以依靠云提供商的合规证明(AOC),而无需进行进一步的测试。
依靠云提供商的合规性,AOC通过与云提供商分担一些职责来减少应用程序合规的开销。以上就是关于云计算提供商的合规性如何影响您的应用程序全部内容介绍,想了解更多关于云计算的信息,请继续关注中培教育。