写点什么

在云中自动实现合规性的 3 个好处

  • 2019-11-08
  • 本文字数:2078 字

    阅读完需:约 7 分钟

在云中自动实现合规性的 3 个好处

“建立声誉需要 20 年的时间,而毁掉声誉只需 5 分钟。” — Warren Buffett


在我的技术生涯中,我一直支持遵从性和安全需求。在某些情况下,这些要求是极其苛刻的 - 例如,当我的团队为国防部审核做准备时,花费了几个月的时间,超出了我们时间的 50%。但是,在几乎所有的情况下,我都能够促进使用自动化的解决方案来使我们的生活更轻松,同时提高我们的安全性和遵从性水平。现今,移至云为您提供了明显改善合规性工作的可能性,而不需要在人力和成本上有同样的显著提升。

我来解释一下 –

合规官通常负责评估和管理企业财务、组织和声誉的风险。在企业环境中,这是一项艰巨的任务,因为人员、流程和技术的复杂性,加上跨行业和地理区域的监管差异。


企业和合规性之间也存在着一种天然的紧张关系。企业必须进行产品创新并改善客户体验。另一方面,合规性团队专注于限制或防止风险暴露,这可能与引入新产品和新特性相冲突。这就是合规性团队经常寻求维持现状的原因。底线是企业和合规性之间的自然紧张关系 - 有时运行状况 - 可能会导致关系紧张并经常导致成本增加,以及减慢上市速度。


通常,合规性团队会进行年度合规性评估、撰写报告和设定补救目标。随后,为业务和技术团队提供对任何发现结果进行补救的时间安排。产品经理和技术领导者了解合规性的重要性,但他们通常将评估视为“练习”并且从价值生成中分散注意力。对他们来说,企业领导者担心年度合规性报告的结果,因为他们认为这些“非功能性”要求会将资源重定向到未来几个季度的战略路线图中未包含的事情上。此外,在开发过程中,合规性常常被作为事后的补充。但遗憾的是,经验告诉我们,如果放任不管,合规性问题最终可能会转化为技术债务。


尽管合规性过程通常被认为是繁重的,但结果可以为客户增加有意义的价值。实际上,根据法律和道德的考虑,合规性应该被看作是一种质量的度量,确保了良好的客户体验,特别是在审查包含了安全性、可靠性和响应性的情况下。您的云策略可在这里扮演重要角色 - 方式是转化企业和合规性利益相关者之间的关系,从而改善企业及其客户的结果。更具体地说,通过在产品或服务生命周期的早期包含合规性要求,您可确保您满足政策和法规目标,同时改善您的价值主张。

方法如下 –

首先,迁移到 AWS 是一种直接的节省。在我自己的云之旅中,我发现 AWS 责任共担模式可让我们获益。以前,我们必须管理物理基础设施才能确保法规遵从性。当我们不得不采购硬件以支持技术计划时,这就造成了额外的延迟。它也总是增加我们的运营负担,因为它通常意味着基础设施团队的工作更多,而不需要额外的人员。通过将我们的工作负载迁移到云,我们将维护一个安全的、合规的物理基础设施的责任转移给了 AWS,从而带来了我们永远无法提供的资源和专业知识。换句话说,我们能够提升我们的能力,同时减少我们必须自己保护的表面积。这为我们的运营团队腾出了时间来专注于其他的增值工作,例如,创建其他自动化。



AWS 责任共担模型


其次,将工作负载转移到云可鼓励更大的自动化。可以基于标准化的和经过批准的模板部署环境,然后可以进行版本控制。此概念称为“基础设施即代码”,安全性和合规性的好处是深远的。在将基础设施作为代码进行管理时,可使用脚本自动验证基础设施来确保遵循安全最佳实践。AWS 还支持在 AWS Config 中定义可自动验证的合规性规则。因此,在使用自动化时,合规性团队可在每次系统更改时验证法律和安全需求,而不是依赖于定期的系统审查。此外,合规性和安全性测试自动化可推入软件开发过程中,并有可能在部署到生产环境之前防止策略违规。最后,可以在每日的报告中捕捉到这些发现,并发送到一个将问题分配给某个特定个体的票证系统,甚至可以触发一个自动修复响应。例如,Capital One 已开发出名为云 Custodian 的规则引擎,此引擎用于在其云平台中定义策略并以编程方式强制实施策略。


第三,当自动化过程或手动审查发现问题时,可更轻松地部署补救措施。例如,在基础设施存在漏洞的情况下,基础设施模板可在代码中进行修改并将自动应用于所有未来的实现。如果应用程序中存在此问题,则可通过将修复部署到应用程序,或通过实现补偿控件 (例如,将规则添加到 AWS Web 应用程序防火墙) 来缓解风险。


随着时间的推移,您的云策略可形成一种积极的合规性文化,将合规性和安全性作为增值的以客户为中心的活动。当您的产品团队在产品待办事项列表中将合规性要求作为用户案例包含时,或当开发人员定期向其软件开发过程添加与合规性相关的测试时,您将实现此里程碑。


如果您已在 AWS 中实现合规性过程的自动化,或者您想要了解有关此主题的更多信息,请告诉我。与此同时,这里还有一些其他的资源可能会有所帮助 –


自动在 AWS 上执行管理


如何监控 AWS 账户配置更改和对 Amazon EC2 安全组的 API 调用


AWS 上的 DevSecOps 简介 — Slideshare


期待再次相会,


– Thomas


thoblood@amazon.com


@groberstiefel


http://aws.amazon.com/enterprise/


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/3-benefits-of-automatically-implementing-compliance-in-the-cloud/


2019-11-08 08:00781

评论

发布
暂无评论
发现更多内容

趋势预测:2021年五大流行的编程语言

禅道项目管理

Java php python 爬虫 趋势

PostgreSQL使用clickhousedb_fdw访问ClickHouse

PostgreSQLChina

数据库 postgresql 开源 软件

免费ETL批量调度,任务调度,作业调度自动化运维工具Taskctl Web

敏捷调度TASKCTL

大数据 kettle 海豚调度 自动化部署 ETL

《Java 面经手册》PDF,全书5章29节,417页11.5万字,完稿&发版!

小傅哥

Java 面试 小傅哥 PDF 面经手册

2021年1月国产数据库排行榜:OceanBase重回前三,TDSQL增长趋势最强劲!

墨天轮

数据库

Elasticsearch和Kibana变更开源许可协议;Facebook利用AI增强为视障人士描述照片能力

京东科技开发者

云计算

云原生架构下复杂工作负载混合调度的思考与实践

星环科技

云计算

同事有话说:ThreadPoolExecutor是怎么回收线程的

Java 程序员 面试

并发条件队列之Condition 精讲

伯阳

AQS 多线程 lock Condition 条件队列

听说隔壁班的程序员给女友做了个智能风扇

智能物联实验室

物联网

使用 async_hooks 模块进行请求追踪

智联大前端

node.js 大前端 koa async_hooks

一文告诉你Java日期时间API到底有多烂

YourBatman

LocalDateTime Date JSR310 Calendar

甲方日常 90

句子

工作 随笔杂谈 日常

不可忽视的PHP数据精度损失问题

架构精进之路

php 七日更 28天写作

面试官:一年跳槽三次,你是怎么做到的?

程序员阿沐

程序员 面试 软件测试 测试工程师

自动化测试现状趋势解读,附带近年自动化测试常用工具

程序员阿沐

程序员 软件测试 自动化测试 测试工程师

阿里P8大牛亲自教你!实战讲述Flutter跨平台框架应用,安卓系列学习进阶视频

欢喜学安卓

android 程序员 面试 移动开发

一文读懂HTTP协议的昨天,今天与明天

后台技术汇

28天写作

nacos 配置中心自动化运维之namespace坑

Sky彬

nacos

kotlin下载!我们究竟还要学习哪些Android知识?Android岗

欢喜学安卓

android 程序员 面试 移动开发

软件测试在不同应用场景中,我们该如何进行测试呢?

程序员阿沐

编程 程序员 软件测试 教程 测试环境

互斥锁 vs 自旋锁

行者AI

互斥

LeetCode题解:389. 找不同,位运算,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

【并发编程的艺术】内存语义分析:volatile、锁与CAS

程序员架构进阶

Java 架构 Java内存模型 28天写作

毫不留情地揭开负载均衡的真面目~

田维常

负载均衡

2021分享三面阿里:Java面试核心手册+Java电子书+技术笔记+学习视频

比伯

Java 编程 架构 面试 程序人生

JDK源码深度学习!阿里P9架构师终于总结出了这份“源码级”的笔记了

Java架构追梦

Java 源码 架构 jdk 面试

图解分析:Kafka 生产者客户端工作原理

李尚智

kafka 中间件 消息队列 消息中间件

产品利益相关者分析

LT_product_elearning

转角遇上Volcano,看HPC如何应用在气象行业

华为云开发者联盟

容器 云原生 HPC Volcano 批量计算

区块链养成宠物游戏开发动物世界app系统搭建方案

v16629866266

在云中自动实现合规性的 3 个好处_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章