不针对任何特定行业或要求,但总的来说 - 目前是否有关于基于云的应用程序的普遍接受的标准?
我*正在开发一个将部署在“云”中的系统(即由 IaaS/PaaS 提供商托管,例如 Amazon EC2)。
除了专门适用于我的应用程序的任何法规或标准之外,是否有任何制定的指导方针(不仅仅是最佳实践)或我应该遵守的特定于云架构的法规?
这与应用程序的类型或内容无关,我专门询问云基础架构配置。
这里的主要目的是遵守(企业)客户可能有的任何期望。(为了实际安全,我们不依赖法规......)
(*) 好吧,这不是真正的我,是我的客户,但足够接近。
我知道没有特定于云的,但是您绝对应该考虑 SoD:
大多数财务审计法规都要求职责分离 (SoD),通常这些在传统环境中相对容易管理。在虚拟化环境中(我在这里看的是更广泛的“云”)前台和后台 IT 可能最终由同一个人或团队管理,并且实际上可能在同一台服务器上,因此当从从审计的角度来看,内幕欺诈的风险会增加。Sarbanes-Oxley 等法规确实要求严格控制职责分离,尽管没有明确规定虚拟环境中的 IT。
数据保护法规也可能会带来问题。尽管不是特定于云的,但这些法规往往要求个人信息保留在特定的司法管辖区(例如欧洲、美国、英国),如果您拥有标准的“云”,则可能没有任何控制来限制数据的实际存储位置。例如,如果我想将英国的个人客户数据存储在部分位于美国的云上,我可能会违反英国 1998 年的数据保护法。
就客户期望而言,由于其分布式特性,云通常被吹捧为非常有弹性,但是确实会发生中断,并且当它们发生时,您完全依赖于云提供商将其“在云中”进行整理。有关示例,请参阅亚马逊 2011 年 4 月的中断。
在过去的 6 个月里,我们在这个领域咨询了几家公司。新兴的云计算安全参考资料组是https://cloudsecurityalliance.org/
如果您正在开发一个使用服务提供商堆栈的应用程序 - CSA 提供了一些很好的建议,这些建议包括询问您的提供商的内容以及服务级别协议中的最低要求。
此外,您应该作为应用程序提供商在移交给您的服务提供商之前执行所有常见的安全框架 - 代码测试、数据库加固、将强身份验证集成到应用程序中。
一旦您的 Web 应用程序在其基础架构上上线,请向您的服务提供商询问有关对其进行测试的信息。确保您允许将其作为 SLA 的一部分进行测试。