组织需要深入了解顶级云计算合规性工具,这些工具可帮助其实现法规遵从性,并实施行业最佳实践。
迁移到云计算可以减轻组织的基础设施管理问题,但这并不能免除企业确保云计算合规性的责任。实际上,云计算合规性和治理在云计算和数据中心中仍然至关重要。
云计算中的合规性是一个多方面的问题。组织的云计算基础设施需要实现合规性,以及云计算厂商需要具备提供满足各种需求的服务的能力。而且,组织需要管理自己对云计算资源的使用以及数据使用,以维护合规性和行业最佳实践。
例如,公共云提供商可以使其平台认证合规,以用于需要满足支付卡行业数据安全标准(PCI DSS)的组织。
目前有多种工具和服务可以帮助企业满足并保持合规性。有些工具与云计算工作负载保护平台管理重叠,而其他工具则专门针对合规性而专门构建。每个顶级公共云供应商(AWS、Microsoft Azure、Google Cloud和IBM Cloud)都提供了可用于组织监控合规性工作的工具。
如何选择云计算合规性工具
在选择云计算合规性工具时,组织需要考虑许多关键标准。虽然某种工具可能是一家公司的理想选择,但它可能不适用于另一家公司,具体取决于对某些功能的需求。
作为云计算项目管理决策的一部分,有许多关键考虑因素需要评估:
·合规范围。有许多不同的合规性规范,确定组织需要涵盖哪些合规性,并确保选择符合这些法规的解决方案非常重要。其中最常见的是PCI-DSS、健康保险流通与责任法案(HIPAA)和通用数据保护法规(GDPR)。
·内部集成。许多组织都拥有云计算和内部部署资产,也就是真正的混合云,因此需要管理以实现合规性。如果企业有两种类型的环境,需要考虑可以处理内部部署和云计算IT资产的解决方案。
·综合安全。有些工具是独立的合规解决方案,而其他工具则直接将安全性集成到云工作负载管理中,如果企业尚未采用云计算安全控制,需要考虑具有集成安全性的解决方案。
·报告功能。无论好坏,都要报告任何合规制度的核心要素。在评估不同工具时,需要查找审核员要求的报告功能。
在Datamation公司提供的顶级公司列表中,重点介绍了提供顶级云计算合规工具的供应商
1.Cavirin
潜在买家的价值主张。除了合规性之外,Cavirin公司对于希望更好地了解其整体风险和网络态势的组织来说是一个很好的选择。
关键价值/差异化因素:
•针对多个安全框架(包括NIST)和指南(包括PCI-DSS、HIPAA和GDPR)的集成合规性映射。
•可以帮助识别云计算和本地部署中的潜在漏洞区域。
•Cavirin公司更独特的关键功能之一是该平台的网络态势评分,它提供了IT资产的高级概述以及所有内容的安全性。
•该平台还可以与开发和DevOps工作流程集成,以帮助确保在开发应用程序时完成合规性。
2.Checkpoint CloudGuard Dome9
潜在买家的价值主张。CloudGuard Dome9是希望确保云计算工作负载安全,并实现合规性的组织的理想选择。对于那些已经使用CheckPoint更广泛产品组合的其他部分的人来说,这也是一个明显的选择。在这种情况下,互操作性会很强。
关键价值/差异化因素:
•CheckPoint于2018年10月以1.75亿美元收购了Dome9 Arc平台,此后更名为CheckPoint CloudGuard Dome9。
•组织的一个主要优势是实时了解云计算资产合规性以及与行业最佳实践保持一致。
•平台的主要区别之一是身份和访问管理(IAM)集成,可用于帮助保护工作负载,并在需要时为特定工作负载提供及时的权限提升。
•补救是另一个核心要素,可帮助企业修复差距和错误配置以实现合规性。
•启用合规性报告,并提供可提供给审核员的可打印状态报告。
3.Lacework
潜在买家的价值主张。对于关注多个云平台的合规性以及检测潜在的异常值和恶意项目的组织,Lacework是一个很好的选择。
关键价值/差异化因素:
•除了合规性之外,Lacework的关键区别在于其Polygraph功能,它可以直观地表示云计算工作负载、API和账户角色之间的关系,以提供适当的场景。
•在合规性方面,Lacework可以监控云工作负载,以实现互联网安全中心(CIS)云计算基准定义的安全配置,以及监控包括PCI-DSS和HIPAA在内的框架的合规性。
•持续合规性是Lacework平台的关键属性,使用户能够随时跟踪合规趋势。
•集成安全功能为基于主机的入侵检测(HID)和文件完整性监控(FIM)提供控制。
4.CloudPassage Halo
潜在买家的价值主张。CloudPassage Halo旨在帮助任何规模的企业识别和修复云风险。
关键价值/差异化因素:
•CloudPassage为在本地运行的工作负载以及跨公共云或混合云部署的工作负载提供自动安全可见性和合规性监控。
•Halo平台有助于识别和监控多个合规框架的云资产,包括CIS AWS Foundations Benchmark、HIPAA、ISO 27001、NIST 800-53、NIST 800-171、HIPAA和PCI DSS。
•集成的安全功能还有助于实现合规性,Halo特别适用于PCI DSS,包括文件完整性监控、配置管理、入侵检测和日志管理功能。
•云计算服务管理(CSM)和软件漏洞评估工具是该平台的关键差异化因素,使组织能够真正了解不同类型的云应用程序工作负载的大风险。
5.Nutanix Xi Beam
潜在买家的价值主张。对于已经购买了Nutanix云计算产品组合的其他元素的组织来说,Xi Beam是一个明显的选择,同时它仍然是一个坚实的独立选项。
关键价值/差异化因素:
•Xi Beam的一个主要功能是全局摘要仪表板,它在全球范围内显示所有账户的云计算运行状况,可针对不同的粒度级别进行自定义。
•GDPR、PCI-DSS、HIPAA和CIS基准测试的法规遵从性监控和审核检查是该平台的一部分,具有250多项自动审核检查。
•能够通过合规性摘要随时查看趋势,直观地显示不同合规性要求的合规性。
•Xi Beam的主要区别之一是能够通过python脚本创建自定义策略,以实现最佳实践和配置。
•可以安排合规性审计报告,以便每日、每周、每月向利益相关方发送。
6.Qualys Cloud Platform
潜在买家的价值主张。Qualys的合规性能力是公司云平台的模块化部分,使组织能够只挑选他们需要的东西。整体平台不仅提供合规性承诺,还提供IT资产和漏洞管理。
关键价值/差异化因素:
•PCI-DSS合规性模块是一个特别强大的关键差异化因素,是一个非常专注和全面的解决方案。该模块可以首先扫描所有设备,以查看PCI-DSS的范围,然后确定合规性状态。
•虽然生成报告在所有合规性解决方案中都很常见,但PCI-DSS模块更进一步,PCI执行报告可以自动发送到金融机构以记录PCI合规性。
•合规性也是最佳实践,这是策略合规性模块通过内部部署和云资产进行自动安全配置评估所支持的。可以进行合规性检查以符合不同的最佳实践,包括全球互联网安全中心(CIS)基准测试。
•特别值得注意的是用于合规性监控的带外配置(OCA)模块,该模块将合规性监控扩展到不易于定位或扫描的资产。
7.Sophos Cloud Optix
潜在买家的价值主张。Cloud Optix是寻求能够与ServiceNow或Jira集成以实现工作流和IT服务管理的合规性平台的组织的理想解决方案。
关键价值/差异化因素:
•Cloud Optix采用无代理方法以大部分自动化方式发现资产并识别安全状况,这可以为组织节省时间。
•合规性和最佳实践监控可以与CIS、SOC2、HIPAA、ISO 27001和PCI DSS以及其他模板一致,以及创建自定义策略和实践的选项。
•持续扫描资产是核心功能,通过直观的仪表板可以查看状态可用性,该仪表板提供对合规性状态的高级概述,并可以选择深入了解实际情况。
•能够设置“防护栏”以限制对关键设置的更改可能使组织面临潜在的合规性违规的关键区别。
8.Symantec Control Compliance Suite
潜在买家的价值主张。 Control Compliance套件是中型到大型组织寻求一套强大的合规性和最佳实践监控和分析功能的最佳选择之一。
关键价值/差异化因素:
•该套件包含多达五个可单独或一起使用的核心模块,包括用于发现的标准管理器、漏洞管理器,用于程序控制的评估管理器,用于与最佳实践和合规性机制保持一致的策略管理器以及风险管理器。
•广泛覆盖不同类型的IT资产是识别云平台、移动、物联网(IoT)和网络资产的关键差异化因素,以确保它们与所需的合规性要求和最佳实践保持一致。
•除了确保正确配置和修补项目之外,集成的漏洞管理功能还采用了威胁分析,可以帮助识别和隔离高风险资产。
•合规性覆盖率首屈一指,具有报告OBIT、GLBA、HIPAA、HITRUST、ISO、ITIL、NERC-FERC、NIST、PCI、SOX等的集成功能,可通过平台进行15,000多次配置检查。
供应商比较图表
相关阅读: