クラウド コンピューティングのコンプライアンスを監視する方法

クラウド コンピューティングのコンプライアンスを監視する方法

コンプライアンス要件を満たさない場合、企業は協会グループから追放されたり、規制当局から多額の罰金を科せられたり、最悪の場合、法廷で訴追されたりする可能性があります。コンプライアンス監視は、オンプレミスでもクラウドでも、重要な実践です。

コンプライアンス監視は、データベースからネットワークまで、またアプリケーションの更新からインシデント対応までのタスクをすべてカバーします。クラウド コンピューティングのコンプライアンス監視戦略を構築するには、まずビジネスに影響を与える規制や標準を理解する必要があります。次に、特定のコンプライアンス要件と使用するクラウド プラットフォームに基づいて、監視プラクティスとツールを実装します。

コンプライアンス要件を理解する

各業界には独自の規制があり、認証や認定を発行する機関があり、政府機関は適用される規制や基準を施行します。こうした状況を追跡するために、企業の法務部門は適用可能なコンプライアンス基準のリストを用意しておく必要があります。企業によってはコンプライアンス担当者などの役職を設けたり、内部監査グループを設けたりする場合もあります。

一般的なコンプライアンス標準または規制には、GDPR、サーベンス・オクスリー法、HIPAA、PCI DSS などがあります。

各コンプライアンス標準には、従わなければならない一連の手順と、適用すべき保護対策が関連付けられています。クラウド コンプライアンス監視は、これらの手順と保護に関するデータを収集して整理することです。

主な監視タスク

クラウドでのコンプライアンス監視には、次のような複数のタスクを実行する必要があります。

  • アプリケーションアクセス監視
  • データベースの保護と監視
  • アプリケーション変更管理
  • インシデント管理とエスカレーション
  • ネットワーク監視とセキュリティ
  • ログの監視と管理

一般的な戦略は、クラウド コンピューティングとネットワーク監視ツールによって収集されたデータを使用して、これらすべての領域のコンプライアンス ステータスの集中ビューを作成することです。このアプローチは、現在のクラウド コンピューティングおよびネットワーク監視の実践に適合します。

クラウド コンプライアンス監視戦略を開始するには、上記のタスクを分割する必要があります。その一部は設計上の考慮事項です。ここで、アプリケーションは、開発者が構築した方法に基づいてコンプライアンス標準を満たします。その他は主に実行時の考慮事項であり、コンプライアンスを確認するために動作中にアプリケーションを監視する必要があることを意味します。企業がクラウド アプリケーションに適用する特定のツールと手順は、コンプライアンス要件がこれらのカテゴリにどのようにマッピングされるかによって異なります。

開発パイプラインに設計時のコンプライアンス標準を適用し、ログ記録とバージョン監視を通じて検証します。前者では、クラウド コンピューティング ソフトウェアの起動、実行、レビュー、テスト、および展開に対する体系的なアプローチが必要です。チームは、適用可能な各標準の要件を実装および文書化するためのツールを特定する必要があります。アプリケーションの設計および開発中に、開発者はコードにイベントまたはログ トリガーを挿入して、コンプライアンス イベントを監視ツールで表示できるようにする必要があります。

Veracode や Checkmarx などのソフトウェア セキュリティおよびパイプライン管理ツールは、設計時のコンプライアンス要件の強化に役立ちます。 Momentum QMS、Synopsys の Black Duck、Gensuite など、ソフトウェアとデータ慣行を監査するためのツールも役立つ追加機能です。これらは特定のクラウド プラットフォームに固有のものではありません。 Active Directory、LDAP、アプリケーション アクセス制御、ゼロ トラスト ツールなど、ユーザー アカウントがクラウド アプリケーションやリソースにアクセスする方法を制御するコンプライアンス管理ツールも役立つ場合があります。

クラウド チームは、IT ログおよびイベント管理ツールとプラクティスを使用して、設計時にコンプライアンスを確認できます。たとえば、ログ分析では、記録されたバックアップへの不正アクセスによるコンプライアンス違反を検出できます。目標は、アプリケーション設計中に確立されたプラクティスを検証し、実装が成功することを確認して、漏れやエラーを特定することです。ログの集約、管理、監視ツールには、Dynatrace、SumoLogic、SolarWinds などの製品が含まれます。

クラウドコンプライアンス監視ツール

IT 管理および監視ツールが不足している中小企業は、監視とコンプライアンス ポリシー分析を組み合わせたツールを検討する必要があります。これらのツールは使いやすさの点で大きな利点があります。ただし、特定の標準とクラウド プラットフォームのみをサポートする場合があります。

コンプライアンス要件が GDPR や HIPAA などの一般的な標準に限定されている場合は、クラウドでホストされるアプリケーションからデータを収集し、標準的で具体的な方法で検出結果を報告できる監視ツールを簡単に見つけることができます。 AWS 向けに設計された Dash ComplyOps など、一部のツールはクラウド コンピューティング プロバイダーに固有のものです。 Kion (旧称 cloudtamer.io) などの他のツールは、広範なコンプライアンス監視およびマッピング機能、およびクラウド管理機能を提供できます。 Kion は、特定のコンプライアンス標準だけでなく、企業がポリシーを通じてコン​​プライアンス標準に関連付けることができる一般的な監視もサポートします。

要件に適合するクラウド コンプライアンス監視ツールが見つからない場合は、複数のクラウド監視ツールを同時に使用して適切な情報を収集します。セキュリティ監視は、多くの場合、コンプライアンス監視の構成要素となります。 SolarWinds や NetApp などの IT ベンダーの一般的なツールを使用すると、多くの場合、このタスクを実行できます。クラウド プロバイダーのログ ツールや集中ログ ツールは、多くの場合、セキュリティ コンプライアンスを超えたコンプライアンス データを提供します。クラウド ベンダーの例としては、集中ログ サービス内の Amazon Cloud Watch ログや、Azure Monitor の分析および管理機能セットなどがあります。このような場合、企業は収集したデータを収集して解釈するために手動のプロセスが必要になる場合があります。

企業が 1 つのクラウド コンピューティング プロバイダーのみのクラウド コンピューティング サービスを使用する場合、コンプライアンス データを収集して分析する手順は非常に簡単です。マルチクラウドや一部のハイブリッド クラウドの展開では、企業は各クラウド展開を個別に監視し、オフライン分析ツールを使用してデータを相関させる必要がある場合があります。

クラウド コンピューティングのメリットは時間の経過とともに変化しますが、すべてのプロセスと選択基準を文書化することで、ツールと方法論を選択できます。

<<:  デジタルトランスフォーメーションでDevOpsを保護する方法

>>:  なぜますます多くの企業がローカル データ ストレージではなくクラウド データ ストレージを選択しているのでしょうか?

推薦する

マイクロソフト、マインクラフトの25億ドル買収完了を発表

北京時間11月9日朝のニュースで、マイクロソフトのXbox事業責任者フィル・スペンサー氏は土曜日、マ...

Kubernetesを早期に導入しない

会社が Kubernetes を導入する場合、メインラインから外れた部分にエネルギーを費やす可能性が...

Java アーキテクチャ - SpringCloud 分散アーキテクチャ 権限管理

概要この記事では、分散アーキテクチャの権限管理の 2 つの状況、つまり統合認証アクセスとクロスプラッ...

VMware は VMware Tanzu および VMware Aria プラットフォームを強化し、顧客のニーズを満たす最新のアプリケーションの開発と提供を加速します。

今日の企業は、不安定なマクロ経済環境において回復力を獲得するために、ソフトウェアの俊敏性を優先する必...

SEOは検索エンジンだけを考慮するだけでは不十分

ウェブサイトのプロモーションと最適化における SEO (検索エンジン最適化) の現状をどのように捉え...

shockhosting: 11のデータセンターすべてでVPSが35%オフ、月額3.5ドルから、年間支払いはさらにお得です。PayPal/Alipayが利用できます。

今年のサイバーマンデーでは、shockhosting は米国、日本、シンガポール、オーストラリアなど...

Google SEO: 2013 年版ウェブサイトに関するよくある質問 (PR、外部リンク、ペナルティ関連、301)

2週間前、私たちはWeiboでオンラインQ&Aイベントを開催し、ウェブマスターからのSEOと...

自社のウェブサイトのパフォーマンスに基づいて、Google PR の増減の主な根拠を分析して推測します。

ご存知のとおり、先週の金曜日に Google PR が小規模に更新され、更新範囲が最大になったのは ...

電子商取引ゲームの設計と計画方法(パート1)

コンテンツベースの電子商取引の時代が静かに到来し、電子商取引ゲームが徐々に私たちの視界に入ってきまし...

#ブラックフライデー#: bluehost-hosting は月額 2.95 ドルから

ブラックフライデーとサイバーマンデーは本当に重要です。昨年、Bluehost は大きな割引はありませ...

Wang Tong: サイトマップの作成と送信に関するチュートリアル

SEO 作業では、ウェブサイトを最適化した後、次に行うことはサイトマップを作成して送信することです。...

ウェブマスターのSEO体験の共有

検索エンジンのアルゴリズムがますます洗練されるにつれて、ウェブサイトの品質に対する要求も高まっていま...

分散アーキテクチャでは、従来のデータベースの運用と保守はどのような変化に直面するでしょうか?

[[319472]]分散アーキテクチャは近年最もホットなトピックかもしれません。この記事では、集中型...

独立したブログにコメントを投稿するときは、nofollowタグに注意してください

コアヒント: この記事では主に、コメント内の nofollow タグがブログのプロモーションに与える...

ソフト記事プロモーションを使って少しお金を稼ぐ方法についてのヒントを共有します

前回のブログ記事「母を南京に連れて行く」で、ソフトテキストプロモーションでお金を稼ぐちょっとしたコツ...