面对不断发展变化的网络安全威胁,任何机构也不可能说自己随时可以100%符合所有标准。随着企业快速迁移到云端,数据存储规模指数级增长,现在更难以充满自信地说自己可以在合规清单上把所有的候选框都勾上了。衡量和证明自身系统合规性的责任落在企业自身,而很多企业在云时代难以做到这一点。
另外,大多数企业认为,通过年度审计或评估就意味着自己“没事了”,不需要再操心维持自身合规性——只要审计结果是绿灯放行。然而,据威瑞森调查,80%通过了PCI年度评估的企业,此后不久就偏离了合规要求。近期数据泄露的规模,让很多企业的安全措施无法延缓攻击者脚步的事实变得十分明显,持续合规和随时在线的风险管理是保护脆弱系统和网络面授未来攻击侵害的必需品。简单地设置安全控制和标准还不够。希望对不断进化的安全违反态势有所准备的公司,应该尽力维持合规。
今天的合规框架,围绕“持续合规”过程提供更多的建议以管理风险。他们清楚,随时保证合规是不可能的,最大的努力就是采用持续的监视。持续监视是持续合规的唯一途径,简单说,人工管理这一风险既没效果,也没效率。采纳具备自动化安全和合规的现代云基础设施,对保护云技术带来的大量攻击入口点是必须的。尽管手工梳理云又慢又费劲,很多企业还是想增加他们的审计频度以确保和证明自己在尽最大努力维持安全。
当代自动化云安全框架中持续合规的主要好处包括:
1. 实时合规和更快的修复
近实时态势感知可通过持续监视基础设施和在引入时识别关键风险达成。一开始就合规,意味着在整个开发生命周期里贯彻安全监视,以及避免在周期末端发生昂贵的变化。
2. 易用和更简单更快的报告
一键合规报告记录下合规策略被遵循的程度,让团队得以创建自动修复规则或遵循建议修复步骤以解决问题。用户归因主打识别出风险被引入到环境中的时间、方式、位置和人员。不再需要花费数周时间手动审查各个系统以产生合规报告,人工方式在你完成的时候可能就已经过时了。而一键合规报告,只需一次点击,就能生成报告,然后导出成审计员需要的形式,节省时间和金钱。团队里的任何人都不需要专门知识就能产出报告。事实上,为审计员提供自服务合规报告的只读访问,能创建全新的抽象层以保护运营团队不受中断。
3. 对云生态系统的完整可见性
这些平台监视器测试并报告所有云服务,提供对所有可测试合规检查的可操作试图。利益相关者有简易的方式可以查看、监视和报告自身整个云生态系统的安全和合规性。
4. 更快的修复
因为监视、评估和修复云基础设施风险是单一平台完全实时托管的,风险能被快速检测和修复。研发团队不用再在审计时间临近时被拉偏离正常工作轨道,不用再不得不停下项目区处理年度合规欠账。
公司企业需要转变应急合规思维到持续合规上来。今天的动态计算环境中,网络边界已不存在,自动化和持续合规是确保基础设施随时安全的必须品。今天的云安全框架,装备了对企业整个云基础设施完整的实时的合规评估。报告可被实时产生,审计得以更经常地进行。采纳了现代安全和合规平台的企业,能从经济有效性和及时性中获益,因而他们可以集中精力到其他高价值的项目上。
