云計(jì)算發(fā)展迅速，已經(jīng)成為軟件生態(tài)系統(tǒng)的重要組成部分。隨著這種增長，它逐漸符合ISO，PCI-DSS和HIPPA等標(biāo)準(zhǔn)，這使您建立了信心，使您可以在安全性方面信任云。那么云計(jì)算提供商的合規(guī)性如何影響您的應(yīng)用程序？本文將幫助您了解云合規(guī)性，以及它可能如何使您的應(yīng)用程序符合國際標(biāo)準(zhǔn)。由于合規(guī)性是一個(gè)更廣泛的主題，因此我將以 PCI-DSS 為例來演示該主題的詳細(xì)信息。

　　云提供商合規(guī)的意義

如果您查看所有領(lǐng)先的云提供商，例如AWS和Azure，它們將保持最高國際標(biāo)準(zhǔn)的合規(guī)性。遵守法規(guī)是建立與其消費(fèi)者的信任關(guān)系的一種方式，可以給用戶帶來安全感和他們提供的服務(wù)的質(zhì)量。就標(biāo)準(zhǔn)而言，云提供商將對(duì)基礎(chǔ)架構(gòu)及其各自管理機(jī)構(gòu)提供的服務(wù)進(jìn)行合規(guī)性處理。

在繼續(xù)之前，如果您還沒有聽說過PCI-DSS，請(qǐng)?jiān)试S我簡(jiǎn)要地解釋一下。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS）是使使用信用卡在線支付更安全的標(biāo)準(zhǔn)。任何符合該標(biāo)準(zhǔn)的應(yīng)用程序都可以確保遵循行業(yè)最佳實(shí)踐安全地存儲(chǔ)和傳輸信用卡數(shù)據(jù)。

例如，如果我們采用PCI-DSS，則AWS和Azure都符合最高級(jí)別的 PCI安全軟件標(biāo)準(zhǔn)。具有合規(guī)性可確保云平臺(tái)在運(yùn)行大規(guī)模支付處理工作負(fù)載方面具有合規(guī)性。

但這是否意味著如果您的應(yīng)用程序在云平臺(tái)上運(yùn)行，則默認(rèn)情況下符合PCI-DSS?遺憾的是，答案是“不！”。因此，您還負(fù)責(zé)分別管理應(yīng)用程序?qū)CI-DSS的合規(guī)性。

這是否意味著任何符合特定標(biāo)準(zhǔn)的云提供商對(duì)于應(yīng)用程序而言都沒有必要遵循相同的標(biāo)準(zhǔn)?為了回答這個(gè)問題，讓我們看一下云安全模型是如何工作的。

　　云安全是共同的責(zé)任

如果您搜索任何領(lǐng)先的云提供商的云安全性，都會(huì)碰到這句話;這是共同的責(zé)任。承擔(dān)責(zé)任是指云提供商完全負(fù)責(zé)基礎(chǔ)物理基礎(chǔ)架構(gòu)，邏輯基礎(chǔ)架構(gòu)（虛擬化）和更高級(jí)別的服務(wù)（例如API管理，身份提供商），云客戶需要對(duì)應(yīng)用程序邏輯的安全性負(fù)責(zé)，按照推薦的最佳做法使用云服務(wù)的方式。

例如，如果我們以PCI-DSS為例，而您在不使用SSL的情況下將信用卡數(shù)據(jù)傳輸?shù)椒?wù)器，或者在未配置SSL的情況下在云端進(jìn)行了更高級(jí)別的服務(wù)（如API管理），則違反了安全傳輸付款信息的標(biāo)準(zhǔn)最佳做法。符合PCI-DSS要求的云提供商在這里無濟(jì)于事。

云合規(guī)性和應(yīng)用合規(guī)性

分擔(dān)責(zé)任模型也適用于您的應(yīng)用合規(guī)性。使您的云提供商符合標(biāo)準(zhǔn)確實(shí)可以在您的應(yīng)用符合法規(guī)的過程中為您提供幫助。

例如，如果我們采用PCI-DSS，則可以依靠云提供商的基礎(chǔ)架構(gòu)和服務(wù)來存儲(chǔ)，處理或傳輸持卡人數(shù)據(jù)。由于您需要分別管理應(yīng)用程序的PCI-DSS合規(guī)性認(rèn)證，因此，作為合規(guī)性認(rèn)證過程的一部分，它將需要執(zhí)行其他測(cè)試以驗(yàn)證您的環(huán)境滿足所有PCS-DSS要求。在這里了解您的責(zé)任至關(guān)重要。

云提供商不會(huì)直接存儲(chǔ)，傳輸或處理任何客戶持卡人數(shù)據(jù)（CHD）。您負(fù)責(zé)使用云基礎(chǔ)架構(gòu)和服務(wù)創(chuàng)建持卡人數(shù)據(jù)環(huán)境（CDE）。

這里的優(yōu)勢(shì)在于，由于云提供商是合規(guī)的，因此您的合格安全評(píng)估員（QSA）可以依靠云提供商的合規(guī)證明（AOC），而無需進(jìn)行進(jìn)一步的測(cè)試。

依靠云提供商的合規(guī)性，AOC通過與云提供商分擔(dān)一些職責(zé)來減少應(yīng)用程序合規(guī)的開銷。以上就是關(guān)于云計(jì)算提供商的合規(guī)性如何影響您的應(yīng)用程序全部內(nèi)容介紹，想了解更多關(guān)于云計(jì)算的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。