對(duì)于任何將工作負(fù)載和應(yīng)用程序遷移到云端的企業(yè)來(lái)說(shuō)，最重要的考慮事項(xiàng)之一是確保他們構(gòu)建的云基礎(chǔ)設(shè)施是安全的。對(duì)于許多企業(yè)來(lái)說(shuō)，滿足某些法規(guī)遵從性標(biāo)準(zhǔn)的需要不僅僅是遵守行業(yè)實(shí)踐，而且在特定情況下，這是法律所要求的。處理敏感的個(gè)人、財(cái)務(wù)和健康數(shù)據(jù)的企業(yè)必須驗(yàn)證他們是否有適當(dāng)?shù)目刂拼胧﹣?lái)保護(hù)這些數(shù)據(jù)，無(wú)論這些數(shù)據(jù)是駐留在自己的內(nèi)部數(shù)據(jù)中心還是云中，以及在傳輸過(guò)程中。

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供大悟網(wǎng)站建設(shè)、大悟做網(wǎng)站、大悟網(wǎng)站設(shè)計(jì)、大悟網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、大悟企業(yè)網(wǎng)站模板建站服務(wù)，10余年大悟做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

盡管從技術(shù)上講，可以在不合規(guī)的基礎(chǔ)架構(gòu)之上構(gòu)建安全的應(yīng)用程序，但對(duì)于客戶而言，這樣做是不切實(shí)際的。結(jié)果，對(duì)于云基礎(chǔ)架構(gòu)提供商而言，與其客戶一樣，標(biāo)準(zhǔn)合規(guī)性也是一個(gè)大問(wèn)題。實(shí)際上，對(duì)于大多數(shù)企業(yè)而言，遵守安全標(biāo)準(zhǔn)是云供應(yīng)商選擇過(guò)程中的必要先決條件。

有許多合規(guī)標(biāo)準(zhǔn)，如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）、ISO/IEC 27001:2013、HITRUST和SOC 2。PCI DSS，由支付卡行業(yè)定義，用于保證信用卡信息的安全。PCI需要對(duì)持卡人數(shù)據(jù)的傳輸進(jìn)行加密，并使用防火墻來(lái)保護(hù)它。任何傳輸、存儲(chǔ)、處理或接受信用卡數(shù)據(jù)的業(yè)務(wù)，無(wú)論其大小或處理量如何，都必須符合PCI標(biāo)準(zhǔn)。ISO27001是一個(gè)更通用的數(shù)據(jù)安全國(guó)際標(biāo)準(zhǔn)。HITRUST旨在確保企業(yè)能夠根據(jù)HIPAA法規(guī)安全地處理醫(yī)療保健信息。對(duì)于所有云服務(wù)提供商來(lái)說(shuō)，最常見的遵從性標(biāo)準(zhǔn)可能是soc2。SOC 2信任服務(wù)標(biāo)準(zhǔn)概述了一個(gè)控制需求框架，可應(yīng)用于在云中存儲(chǔ)客戶數(shù)據(jù)的所有企業(yè)，包括所有SaaS和IaaS公司，以及使用云存儲(chǔ)自己客戶信息的企業(yè)。

客戶應(yīng)期望其云基礎(chǔ)設(shè)施提供商提供其年度SOC 2類型2審計(jì)報(bào)告（應(yīng)由獨(dú)立的第三方審計(jì)公司編制）以供審查。SOC 2第2類審計(jì)是對(duì)客戶數(shù)據(jù)的安全性、可用性、保密性和隱私性的控制措施的運(yùn)行有效性進(jìn)行的綜合評(píng)估。在對(duì)云服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，他們?yōu)榭蛻籼峁┝擞袃r(jià)值的信息。SoC 2審計(jì)報(bào)告可以向客戶保證云基礎(chǔ)設(shè)施供應(yīng)商為業(yè)務(wù)關(guān)鍵應(yīng)用提供了安全、標(biāo)準(zhǔn)兼容和安全的基礎(chǔ)。

除了為云基礎(chǔ)架構(gòu)提供商及其客戶提供有關(guān)安全控制實(shí)施的通用語(yǔ)言和理解之外，標(biāo)準(zhǔn)合規(guī)性還被視為企業(yè)內(nèi)部安全文化的指示。實(shí)際上，某些不需要遵循特定標(biāo)準(zhǔn)（例如PCI）的客戶可能仍會(huì)要求它（或?qū)崿F(xiàn)它的路線圖），因?yàn)樗f(shuō)明了基礎(chǔ)架構(gòu)提供商的運(yùn)營(yíng)效率。

云安全方程式的另一個(gè)關(guān)鍵方面是了解共享責(zé)任模型。云基礎(chǔ)架構(gòu)提供商通常會(huì)明確說(shuō)明他們負(fù)責(zé)總體安全框架的哪些方面以及客戶必須自己管理的那些方面。一般而言，基礎(chǔ)架構(gòu)提供商負(fù)責(zé)保護(hù)基礎(chǔ)架構(gòu)本身，包括構(gòu)成托管平臺(tái)的人員，硬件，軟件，網(wǎng)絡(luò)和物理設(shè)施?？蛻敉ǔＸ?fù)責(zé)保護(hù)自己的環(huán)境，包括來(lái)賓操作系統(tǒng)，應(yīng)用程序和數(shù)據(jù)。例如，基礎(chǔ)架構(gòu)提供商通常負(fù)責(zé)為托管云平臺(tái)的系統(tǒng)和應(yīng)用實(shí)施身份管理，而他們的客戶將負(fù)責(zé)在其云環(huán)境中為系統(tǒng)和應(yīng)用程序?qū)嵤┥矸莨芾?。?duì)于客戶來(lái)說(shuō)，了解他們的責(zé)任從哪里開始以及基礎(chǔ)架構(gòu)提供商的終點(diǎn)很重要，以防止可能導(dǎo)致漏洞的任何差距。

兼容的基礎(chǔ)架構(gòu)使客戶更容易構(gòu)建符合相同標(biāo)準(zhǔn)的安全應(yīng)用程序?；A(chǔ)設(shè)施提供商可以通過(guò)自己遵守法規(guī)來(lái)簡(jiǎn)化其法規(guī)遵從流程，這不僅使數(shù)字世界更加安全，而且還可以提供競(jìng)爭(zhēng)優(yōu)勢(shì)。

企業(yè)通常會(huì)花費(fèi)大量時(shí)間，精力和金錢來(lái)實(shí)現(xiàn)其自己的應(yīng)用程序，網(wǎng)絡(luò)和內(nèi)部部署基礎(chǔ)結(jié)構(gòu)中的標(biāo)準(zhǔn)合規(guī)性。對(duì)于從事特定行業(yè)（例如金融服務(wù)）的企業(yè)而言，保持符合PCI DSS等標(biāo)準(zhǔn)的負(fù)擔(dān)甚至可能成為云遷移的障礙（以及性能，規(guī)模和業(yè)務(wù)敏捷性的相關(guān)優(yōu)勢(shì)）。通過(guò)提供標(biāo)準(zhǔn)合規(guī)性，云基礎(chǔ)架構(gòu)提供商可以降低風(fēng)險(xiǎn)并簡(jiǎn)化客戶遷移到云的過(guò)程。

網(wǎng)站名稱：云基礎(chǔ)架構(gòu)提供商的標(biāo)準(zhǔn)合規(guī)性和安全性
文章源于：http://weahome.cn/article/cppsjg.html