企业云端的守规性操作

你有几次能完成一个1000件拼图？或者你有几次能认认真真地玩大富翁？这两种游戏都与合规（遵守规则）的过程有相似之处。

即使是有一个可靠的策略和大量的耐心都不会让你堅持很久-你甚至会发现自己想要放弃这件事。

当然，拼图和大富翁都只是游戏，而遵守条例规则是我们在现实生活需要面对的事情。这两者之间还是有很大的差别的。对于许多公司来说，做到守规和通过审计是没有商讨余地的，运营，系统和负责安全的人员（以及其他股东）都必须去遵循规则。但是理解和遵守那一大串不管是对于HIPAA，SOX，ISO，SOC 2的要求，还是其他的规则模型，都算是一个很大的障碍和困难。

好消息是：当一个像Threat Stack这样的综合安全平台被整合到你的运营中时，整个遵守规则的过程就变得更加合理以及易于管理。除了提供全面的云安全保护之外，Threat Stack还提出了达到主要监管标准的三大关键步骤（见下文） - 从而为满足云端的合规性提供了一个简单的框架。Threat Stack为了达到守规标准还会自动建立审计跟踪，来支持内部控制，程序和报告。

我刚才提到的三个方面是：

• 持续监控（确保您可以用可靠的方式获取到与您的审计要求相关的数据）
• 漏洞管理（因此您可以了解您的环境中的风险所在，并报告它的可容忍度或补救措施）
• 报告（提供当前的图片以及事件和数据的历史记录）

Security_Compliance_Framework_Process.png

持续的安全监控

检测安全事件的早期预警系统可以对用户登录，第三方服务活动，工作量活动以及对数据的修改等活动进行持续监控，同时还可以精确查明不合规的行为。这可以强有力地保证您所制定的控制机制已经在整个环境中被实施。

监控会对您的环境中的各种情况的实时数据进行记录，这是几乎所有安全合规性监管的基本要求 - 不管是HIPAA，PCI DSS还是ISO 27001等。它提供了来自系统内部的智能信息，帮助安全专业人员和审计负责人了解：谁在环境中对他们的客户数据做了什么，什么时候做的这件事情，以及这种行为是否是常规性操作，有没有根据政策操作。

更具体地说，它详细说明了合规性问题的发生地点，发生的地点，时间和方式，包括：

• 未经授权的对数据和配置的暴露或修改
• 操作系统，应用程序和数据库级别的活动
• 权限控制的事故
• 新用户创建或用户删除
• 用户信息修改，如密码重置
• 软件的安装，尤其是标准工作流程以外的软件（构建流水线）
• ...以及更多

另一个关键部分是了解密钥文件的被访问和修改的时间。换句话说，文件的完整式监视（或FIM）可以让您去确认是否存在对于关键系统，配置或内容文件的未经授权的修改。FIM可以检测到文件活动的异常，因此这被认为是所有公司都应该去实施的最佳方案。例如，如果有用户访问私密SSL证书，特别当是如果这个用户不是Web服务器的时候，FIM就会进行跟踪和提醒。

漏洞管理

一种常见的审计要求是了解环境中安装的所有软件（包括第三方依赖项），以及了解是否存在已知的漏洞（例如CVE）。Threat Stack 可以通过分析安装在您所在环境中的所有软件，将其与已知的易受攻击软件的数据库进行比较，去帮助你满足这些要求。

在“信任但需要验证”的世界里，这一点尤其重要。小型开发团队不断更新生产环境，即使您的组织采用了成熟的构建管道作为软件布局的控制点，您仍然需要有效地监控环境，以便及时了解是否有意料之外的（第三方）工作负载被引入，以及这些工作负载是否易被破坏。

当然，漏洞管理应该是您整体安全策略的基本组成部分，但是它也有助于去满足一些合规性的要求。

实时报告以及历史记录的保留

在强有力的安全保障和所有合规系统中，完整的记录都是不可或缺的。在前文中，我们已经看到，实时报告可以帮助你截取可能成为安全问题的活动。Threat Stack将这些记录形成一个连续的时间表，可以让您查看威胁合规性的事件的本身以及事件发生前的活动。相比起使用其他系统（如日志分析工具），这可以使操作者以及事后审计人员可以更全面地了解真正发生的情况。由于证明有效地达到控制是建立在持续监控之上，因此它变成一个连续的过程。

获得与保留这些记录和事件都很重要。大多数合规性规则（包括SOX，PCI DSS和SOC 2）都规定：安全事件和警报信息都需要长时间保存。有一些的保存时间可能短至30天; 有一些需要保存几年时间。

通常这些数据需要储存在独立存储库中，与你自己的服务器分开。这样做的原因是：无论服务器上的数据发生了什么变故，报告都可以保持完整，以供监管和调查。虽然Threat Stack的云安全平台 ™可以作为保留和生成报告的工具，但不管是出于合规性还是安全原因，有些用户希望将自己的警报存档保留下来。任何组织都可以通过ThreatStack的webhooks API简单地实现这一点，将相关的警报记录传送到任何二级平台（AWS S3，SIEM等）。

实施合规性框架

上述三个方面共同确保了强大的合规能力和基于综合管理框架的审计能力。您不仅可以通过同一个窗口访问所有数据，系统和用户，还可以根据自动生成的上下文数据快速修复数据。在修复之后，通过大量的数据文件可以对事件进行回顾，以便进一步分析，找出风险最高的部分，并持续改进。

总之，该框架给您提供了一个思路，让您能够通过以下方式满足所有主要合规体系的基本要求：

• 持续监测：通过深入监测系统内部和整个系统，实现持续的监测，确保数据和系统的完整性
• 漏洞管理：在偏差或失误出现时，迅速采取行动恢复系统完整性，及时了解意料之外的工作负载的出现或者建立的管道是否被避开了
• 报告：利用当前的数据来检测数据和系统的状态，并帮助系统分析和补救; 保留历史记录

有关构建公司合规性策略的更多指导，可以去征求一些快速的Threat Stack的演示，还可以发起一些有关云安全性和合规性的方法的讨论。