如何在云中实现安全与合规的规模化?亚马逊云科技给出了答案

news2024/12/27 18:10:32

在亚马逊云科技,为满足客户不断变化的需求,亚马逊云科技持续创新与迭代,设计的服务能帮助客户满足最严格的安全和合规性要求。针对安全相关工作,亚马逊云科技服务团队与Amazon Security Guardians云守护者项目密切配合,始终保持服务的高标准。同时,亚马逊云科技内部的合规团队密切监测世界各地的安全管控要求,并通过与外部审计团队合作,对亚马逊云科技的服务针对这些要求进行第三方验证。

 

安全是基石

在亚马逊云科技,安全是首要任务。实现合规性或许充满着挑战,但通过将安全作为亚马逊云科技所有工作中不可或缺的部分,可以帮助亚马逊云科技遵守更广泛的合规要求、记录合规性,并向审计员和客户证明亚马逊云科技的合规性。

亚马逊云科技的安全性始于安全合规的全球云基础设施,企业无论规模大小均可获得一致的云安全体验。展开来讲就是,亚马逊云科技的基础设施不仅根据安全最佳实践和最高标准来建立和管理,而且还考虑了云的独特需求,采用冗余和分层控制、持续验证和测试,大量使用自动化,确保底层基础设施得到7X24小时全天候的监控和保护,以满足跨国银行等高敏感组织的安全合规需求。

此外,亚马逊云科技还支持143项安全标准与合规性认证,帮助企业满足全球几乎所有监管机构的合规要求。亚马逊云科技管理和控制从主机操作系统和虚拟化层到服务运行设施的物理安全的组件,同时为企业提供了广泛的最佳实践、加密工具与其他指导,帮助企业完善应用层面的安全措施。

17cbfc4bce984f8faea06484a4ea836e.png

 

随着审计员深入了解亚马逊云科技所做的事情,亚马逊云科技甚至可以帮助他们改进和完善审计方法。这也提高了亚马逊云科技直接向客户所提供报告的内容深度和质量。

其中,通过Amazon Artifact提供亚马逊云科技安全与合规性文档的按需下载,例如亚马逊云科技ISO认证、支付卡行业(PCI)报告和服务组织控制(SOC)报告。可以向审计员或监管机构提交安全与合规性文件(也称为审计项目),以证明使用的亚马逊云科技基础设施和服务的安全性和合规性。也可以使用这些文档作为指导来评估自己的云架构和评估公司内部控制的有效性。

 

安全规模化的挑战

据亚马逊云科技了解,很多客户都致力在安全、合规性和生产效率之间取得平衡。例如,将他们的应用程序快速提供给他们的用户。在此之前,可能需要对这些应用程序进行审计。传统的流程一般包括编写应用程序、投入生产,交由审计团队检查以确保符合合规标准。这种方式可能会引发一些问题,比如因为反复增加合规需求而导致开发团队返工,甚至可能导致开发人员的反感。

以传统方法强制贯彻合规要求,非但不会帮助规模化,甚至还会导致团队关系更加复杂,出现很多分歧。那么,如何快速且安全地进行规模化?

 

用技术语言来表达合规要求

赢得开发团队信任的第一种方法是用他们的语言。使用开发人员所使用的术语和参考文献,并了解他们正在使用的开发、部署和保护代码的工具至关重要。让工程团队将各种合规要求(通常是模糊的)转化为工程规范,这种要求既不高效也不现实。合规团队应该使用工程师熟悉的语言,并努力将所要求的内容转化为具体且必须执行的事项。

另一个规模化的策略是将合规要求嵌入到开发人员的日常工作中。合规团队让开发人员能够像往常一样完成工作,而不进行干预。如果这一战略取得成功,合规路径成为简单且自然的路径,那么这种方法将实现合规性的规模化,并能够促进团队之间的理解和协作。这种方式还将有助于打破开发人员与审计、合规团队之间的障碍。

 

将审计员和监管机构视为合作伙伴

我们应该把审计员和监管者当作真正的业务合作伙伴。独立审计员或监管机构深入了解各行业客户是如何在其产品中使用企业所提供的安全,因此他们能够对报告的最佳使用方式给出宝贵见解。虽然,有时人们可能会将监管机构视为对手,但最好的方法是与监管机构开诚布公地交流,帮助他们了解企业的业务以及带给客户的价值,增强他们对企业技术和流程的认知。

在亚马逊云科技,使用多种方式帮助审计员和监管机构快速了解。例如,亚马逊云科技举办数字审计研讨会(Digital Audit Symposium),介绍亚马逊云科技如何在安全和合规方面针对特定服务的管控和运营。同时,还开设了云审计学院(Cloud Audit Academy),提供了与云无关的以及亚马逊云科技特定的培训课程,帮助现有和潜在的审计、风险和合规领域专业人员了解如何对受监管的云工作负载进行审计。亚马逊云科技认为,与审计员和监管机构合作是合规性规模化的关键。

将安全作为基础,对于推动和合规规模化至关重要。使用工程师熟悉的语言,有助于他们保持工作节奏而不会被打断,并将尽可能简化合规路径。尽管仍然存在一些阻碍,但对于金融服务和医疗保健等受到高度监管的企业而言,将审计员视为合作伙伴仍是一种积极的战略转变。越是积极主动地帮助审计员完成工作,企业就能越快地收获他们给业务带来的价值。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/740931.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【计算机视觉】80 TB!58.5 亿!世界第一大规模公开图文数据集 LAION-5B 解读

文章目录 一、导读二、数据集背景信息2.1 图文对数据集2.2 图像数据集 三、LAION-5B有什么3.1 子集3.2 开源模型3.3 KNN index/web界面 四、LAION可以做什么任务4.1 图文匹配及多模态预训练4.2 生成任务4.3 分类任务4.4 其他任务 五、总结 一、导读 继去年 LAION-400M 这个史上…

Android Jetpack Compose多平台用于Android和IOS

Android Jetpack Compose多平台用于Android和IOS JetBrains和外部开源贡献者已经努力工作了几年时间来开发Compose Multiplatform,并最近发布了适用于iOS的Alpha版本。自然地,我们对其功能进行了测试,并决定通过使用该框架在iOS上运行我们的…

leetcode47. 全排列 II 回溯剪枝的细节问题

题目描述: 1、思路 作为回溯算法的经典问题,常用的方法是,每次dfs前先判断是否达到临界条件,满足条件则加入结果集并return。通过循环和dfs来构建树,查找出全部满足条件的集合。 例如本题,如1&…

dp动态规划详解下

dp动态规划详解上:https://blog.csdn.net/weixin_73936404/article/details/131527247?spm1001.2014.3001.5501 目录 dp动态规划详解上:https://blog.csdn.net/weixin_73936404/article/details/131527247?spm1001.2014.3001.5501 【案例1】 【题目描…

强度(极限强度、屈服强度)、韧性材料与脆性材料(韧性材料与脆性材料的强度、为什么脆性材料在压缩时比在拉伸时更坚固?)、材料的延展性、韧性、弹性

1.强度 强度(Strength)是材料可以承受的应力的量度,通常使用极限强度(Ultimate strength)和屈服强度(Yield strength)来定义材料的强度-极限。 材料的极限抗拉强度定义为在拉伸试验过程中达到的…

windows 编译libyuv

一、libyuv下载 git clone https://chromium.googlesource.com/external/libyuv 二、libjpeg-turbo下 git clone https://github.com/libjpeg-turbo/libjpeg-turbo.git 三、编译可以参考 BUILDING.md 需要环境: VS2019 CMake YASM 启动vs工具 编译&#xff1…

js模块化开发

◼ 到底什么是模块化、模块化开发呢?  事实上模块化开发最终的目的是将程序划分成一个个小的结构;  这个结构中编写属于自己的逻辑代码,有自己的作用域,定义变量名词时不会影响到其他的结构;  这个结构可以将自己…

SAP S4 Hana 下面ACDOCA 凭证行字段增强创建过程

网上找到这个类下面是可以新增增强的 现在需要在如下位置建立四代增强点 保存以后会出现下面的增强项 保存激活后,完成在源程序中增加了一个4代显式增强点.上面步骤只是在程序中建立了一个增强点,并没有执行什么动作,就相当于建立一个容器。如…

Python将Excel数字对应列的字母写成字典(json)

在日常的办公中,我们经常需要利用python去读写Excel类型的文件,有时候我们需要将每个数字代表的列的字母表现出来,那么我们可以利用Python实现,而且今天的代码可以根据自己的需求去任意的改变你想规定的长度 如,或者更长 a {1:…

1分钟搭建VPN服务器

1分钟搭建一个VPN服务器 VPN技术在保障网络通信安全和隐私上发挥着重要作用。IPsec VPN是其中一种常用的VPN模式。本文将介绍如何通过使用Docker来快速搭建IPsec VPN Server。 什么是IPsec VPN? IPsec即Internet Protocol Security,是一种用于保护互联…

「2024」预备研究生mem- 形式逻辑强化:逻辑的特殊文字表述方式(重点记忆)

一、形式逻辑强化:逻辑的特殊文字表述方式 二、课后题

关于torch.load报出找不到模型的错误,但路径明明正确

后来发现是因为使用 torch.save(model,save.pt) 会保存整个文件时会默认保存训练py文件的父目录,用torch.load导入文件时搜索路径必须有此父路径,否则将会提示no model named model这样的错误 解决办法是使用sys.path.apend把该父目录加入搜索路径中 …

Java开发 - 探寻Spring的秘密

前言 Spring是企业级J2EE一站式解决方案,提供了整个项目的表现层、业务层、持久层,而且,它的生态特别完善,可以和其他框架无缝对接,现在做Java的哪个项目里没有Spring的说出不去都不信。但往往我们开发者只重视项目是…

重定向:电商行业打败对手的杀手锏

重定向是一种在线营销策略,针对对产品或服务表示兴趣的潜在客户。可以追踪那些访问过您的网站、但未进行过消费的用户,再次向他们展示相关产品,激起消费欲。再营销则是可以追踪那些将商品加入网页购物车,但最后没有购买的用户&…

物流RFID设备一般在哪些场景应用?

随着现代物流行业的快速发展,传统条码技术信息量少,易脏污损毁,耐用性不高等问题很难满足物流企业多样化的需求,物流RFID设备的应用也越来越广泛。下面我们就跟大家一起来分析一下,物流RFID设备可以在哪些场景中应用。…

计算机体系结构基础知识介绍之动态调度(三)

首先回顾一下tomasulo算法, Tomasulo算法的第一个优点是分布式的冒险检测逻辑,这是通过使用预留站和公共数据总线实现的。预留站是一种存储指令和操作数的缓冲区,每个功能单元都有自己的预留站。公共数据总线是一种广播结果的方式&#xff0…

SpringBoot07:Thymeleaf模板引擎

目录 一、Thymeleaf 1、模板引擎 2、引入Thymeleaf 3、Thymeleaf分析 二、测试 1、编写一个TestController 2、编写一个测试页面welcome.html放在templates目录下 3、启动项目请求测试 三、Thymeleaf语法学习 1、修改测试请求,增加数据传输 2、要使用thy…

zabbix服务部署

文章目录 zabbix1 zabbix简介1.1 组成部件1.2 监控原理1.3 Zabbix 6.0新特性1.4 Zabbix6.0功能组件1.4.1 Zabbix Server1.4.2 数据库1.4.3 Web界面1.4.4 Zabbix Agent1.4.5 Zabbix Proxy1.4.6 Java Gateway 2 部署zabbix服务端2.1 部署Nginx2.2 安装PHP2.3 修改Nginx配置2.4 修…

Docker安装ElasticSearch7.14.0 docker安装elasticsearch7.14.0完整详细教程

Docker安装ElasticSearch7.14 docker安装elasticsearch7.14完整详细教程 Docker 上安装 ElasticSearch 7.14.0 的步骤:选择要安装的ElasticSearch 版本1、拉取 ElasticSearch 镜像2、创建并运行容器关闭容器启动容器重启容器 3、elasticsearch常用端口以及作用4、测…

耳夹式骨传导耳机测评!2023年最全耳夹骨传导耳机盘点

现在市面上的骨传导耳机品牌层出不穷,骨传导耳机好不好用,主要还是看耳机的品牌背景以及独家的音质技术调配,较大的骨传导耳机品牌在购买时售后以及使用体验上都具有一定的保障,下面就分享一些值得入手的骨传导耳机给大家吧~ 第一…