クラウド固有の標準と規制
特定の業界や要件に固有ではありませんが、一般的に、クラウドベースのアプリケーションに関して現在一般的に受け入れられている標準はありますか?
I *は、「クラウド」にデプロイされるシステムを開発しています(つまり、IaaS/PaaSプロバイダーであるAmazonEC2によってホストされます)。
アプリケーションに特に適用される規制や標準のほかに、(ベストプラクティスだけでなく)ガイドラインや規制の定式化されたセットがありますかクラウドアーキテクチャに固有準拠する必要がありますか?
これは、アプリケーションの種類やコンテンツとは関係ありません。具体的には、クラウドインフラストラクチャの構成について質問しています。
ここでの主な目的は、(エンタープライズ)顧客の期待に応えることです。 (実際のセキュリティについては、規制に依存していません...)
(*)さて、それは実際には私ではなく、私のクライアントですが、十分に近いです。
私が知っているクラウド固有のものはありませんが、SoDについては間違いなく考える必要があります。
ほとんどの会計監査規制では、職務分掌(SoD)が必要であり、通常、これらは従来の環境では比較的簡単に管理できます。仮想化環境(ここでは「クラウド」のより広い範囲を見ています)では、フロントオフィスとバックオフィスのITは、最終的に同じ個人またはチームによって管理され、実際には同じサーバー上にある可能性があるため、監査の観点では、インサイダー詐欺のリスクが高まります。 Sarbanes-Oxleyのような規制では、仮想環境でのITについて明確に表現されていないにもかかわらず、職務の分離に関する厳格な管理が必要です。
データ保護規則も問題を引き起こす可能性があります。クラウド固有ではありませんが、これらの登録では、個人情報が特定の管轄区域(ヨーロッパ、米国、英国など)内にあることを要求する傾向があり、標準の「クラウド」がある場合、データが実際に保存される場所を制限するコントロールがない場合があります。たとえば、英国の個人顧客データを部分的に米国にあるクラウドに保存したい場合、英国の1998年データ保護法に違反する可能性があります。
クライアントの期待の観点から、クラウドは分散型であるため、非常に回復力があると宣伝されることがよくありますが、停止は発生します。停止が発生すると、完全にになります。 -)「クラウド内」でそれを分類するクラウドプロバイダーに依存します。例については、 Amazonの2011年4月の停止 を参照してください。
この6か月間に、この分野でいくつかのコンサルティングを行いました。クラウドコンピューティングに関するセキュリティ参考資料の新たなグループは https://cloudsecurityalliance.org/
サービスプロバイダースタックに乗るアプリケーションを開発している場合-プロバイダーに何を尋ねるか、サービスレベルアグリーメントにどのような最小要件を含めるべきかについて、CSAからいくつかの優れた推奨事項があります。
さらに、サービスプロバイダーに引き渡す前に、アプリケーションプロバイダーとして、コードテスト、データベースの強化、アプリケーションへの強力な認証の統合など、すべての一般的な優れたセキュリティフレームワークを実行する必要があります。
Webアプリケーションがインフラストラクチャで稼働したら、サービスプロバイダーにテストについて問い合わせてください。 SLAの一部としてテストできることを確認してください。