确保云计算合规的三个关键要求

为了做好准备，企业有几种选择。最坏的情况下，大多数IaaS供应商将会提供其环境中镜像的原始清单以便进行计费，或者通过其控制面板提供清单。虽然这个清单可能不是企业想要的(例如，它并不会显示镜像的目的或者其中有何软件)，但至少这是一个开始。如果你的企业有来自服务提供商的专门技术人员来支持你的账户(例如你是特定供应商的大客户)，在创建库存清单时考虑列出供应商的帮助支持。如果你不是大客户或者你的云服务提供商不合适(或成本太高)，考虑采用自动化功能;例如，在你的虚拟“黄金镜像”预配置盘查代理，可能有助于捕捉你不知道的新实例或克隆。　　

数据流和SaaS

下一个挑战涉及在某些云计算环境中映射数据流，特别是软件即服务(SaaS)。与平台即服务(PaaS)和IaaS不同，在SaaS中，应用本身是一个“黑盒子”，这意味着SaaS客户被故意从应用运行的底层机制屏蔽。例如，当你登录到LinkedIn或Facebook时，你知道你的用户ID穿行在哪台服务器或者多少不同的数据库连接到内部后端环境?你关心吗?或许你不在乎，只要你能正确登录。现在，镜像能解决这个要求，它不仅能了解如何进行整个过程，而且还能记录数据采用的确切路径。　　

现在，请记住，该标准中并没有说数据流图要“知道不可知的情况”，当企业对远程基础设施没有充分可视性，达到这种详细程度并不总是现实的。在另一方面，图表上有箭头指向互联网称，“PAN发送到远程计费供应商”，并不能达到评估员的标准，所以需要寻找一个中间立场，来彻底满足评估，同时没有那么繁琐，让企业可以实现。对此，你可以从记录你所知道的并让供应商完成测试开始。如果他们不能(或者不愿意)帮助向下钻取以及更详细，请确保记录这个事实。你应该向评估者提供证据证明你已经作出最大努力来收集具体数据，这可以让评估人员了解你已经完全考虑过这个要求。　　

服务提供商矩阵

PCI总是要求企业检查其服务供应商的PCI合规状态，但现在它还要求企业记录哪些PCI要求由供应商负责，哪些由企业自己负责。　　

这可能听起来像是一件容易的事，但请记住，云供应商(无论是SaaS、PaaS或者IaaS)以及更传统的服务供应商都属于这一类。这意味着企业现在必须确定谁负责特定的PCI DSS控制：企业还是供应商。虽然一些服务提供商(特别是经常服务于商家社区的提供商)已经有他们所提供的控制的现成的清单，其他提供商可能并不会完全认同特定企业对责任划分的观点。这意味着企业需要与服务提供商反复协商来建立一个双方都同意的清单。　　

结论　　

要注意的是，这三个要求并不是PCI DSS为部署云计算的商家带来的唯一变化。然而，对于这些要求，精明的安全和合规从业人员需要做一些准备和前期规划以迎接新标准。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友