在云计算架构中按设计构建法规遵从性的10个技巧

智能家居 2019-11-26 10:30187未知admin

9353332e532830bcf125f6eaa81b-1449121.jpg

几年前,星巴克公司曾要求合规性自动化初创厂商Shujinko公司的创始人Matt Wells和Scott Schwan为其构建必要的团队和流程,以支持星巴克公司开发的移动应用程序,采用完全符合支付卡行业 (PCI) 的安全云架构,并根据互联网安全中心(CIS)制定的标准进行衡量。

Shujinko公司首席技术官Matt Wells解释说,“我们公司的20名工程师在大约9到12个月的时间里构建了一个高度自动化、可扩展、可重复的环境,星巴克公司可以用来支持他们想要推出的所有产品,他们以此为基础然后开始将其他应用程序移至公共云。”

Shujinko公司首席技术官Matt Wells和首席执行官Scott Schwan深入研究了他们为星巴克的工作细节,并分享了有关如何将合规性纳入企业的云计算架构以及在此过程中扩展DevSecOps的技巧。在此采用了他们自己的语言提出一些见解。

1.将合规要求放入“完成”的定义中

Matt Wells说,“对于一个工程团队来说,将合规性要求纳入‘完成’的定义中是非常重要的。很多时候,团队没有及早地开始对话和进行讨论。因此,‘完成’的定义没有包括与法规遵从性或安全性相关的内容。因此,为团队建立这种联系极为重要。”

2.让工程师直接负责保护环境

Matt Wells说,“在特殊情况下,我们正在构建一个完整的云平台,并且我们负责该平台的安全性。能够尽早设定期望,也就是说,‘这很重要:如果想加入这个团队,将会使用一些非常好的技术,但是要对安全负责,要对合规性负责。如果没有通过审核,那将是我们的团队责任,而不是安全团队或合规性团队的责任。'”

3.在云计算工程团队和安全团队之间建立紧密的联系

Scott Schwan说,“我们确保从一开始就真正与安全领导保持一致。我确实相信DevSecOps的基本原则,因此,如果工程团队了解他们正在建立的要求,他们可以对自己的职责负责这样做,不再是安全团队在项目的最后阶段突然涌入,并试图更改或阻止它们,因此,文化转变的一部分是确保我们在团队之间建立信任。”

4.在构建之前定义安全性程序和要求

Matt Wells 表示,“我们从安全团队那里收集了要求,并且从业务组那里收集了必须支持的地理区域的合规性要求。我们拥有了必须遵守的所有合规性标准,这些标准有不同的要求。从那里我们定义了程序,那么我们要如何给服务器打补丁呢?我们将如何采用容器并部署代码?

眼爆科技 Copyright © 2002-2017 深圳眼爆智能科技有限公司 版权所有 备案号:* 本站资源来自互联网,我们转载的目的是用于学习交流与讨论,如果您认为我们的转载侵犯了您的权益,请与我们联系(Email:gm@ybbtb.com),我们将在3个工作日内删除相关内容。

邮箱地址:gm@ybbtb.com