關(guān)于合規(guī)的棘手問題之一是規(guī)則總是在變化。不僅大多數(shù)合規(guī)框架會(huì)定期更新，而且還會(huì)引入新的合規(guī)框架，例如近年來的GDPR 和 CCPA/CPRA。

對(duì)于云架構(gòu)師和開發(fā)人員來說，這種模式引出了一個(gè)問題：您如何確保您的云環(huán)境不僅符合您今天需要滿足的規(guī)則，還符合未來可能出現(xiàn)的規(guī)則？您如何避免由于合規(guī)性要求的意外變化而不得不顛覆您的云戰(zhàn)略？

相關(guān)： AWS 可能失去其主導(dǎo)云市場(chǎng)份額的 4 個(gè)原因

當(dāng)然，這些問題沒有簡(jiǎn)單的答案。但是通過戰(zhàn)略性地思考云環(huán)境的設(shè)計(jì)和管理方式，可以對(duì)您的云進(jìn)行“合規(guī)性證明”，這意味著運(yùn)行一個(gè)滿足未來合規(guī)性要求的云，即使您目前不知道這些要求可能是什么。

這里有五個(gè)這樣的技巧可以幫助使 云長(zhǎng)期兼容。

1. 隔離云工作負(fù)載

相關(guān)： 什么是云安全？

您運(yùn)行的應(yīng)用程序越多，就越難確保這些應(yīng)用程序符合合規(guī)性規(guī)則——尤其是如果每個(gè)應(yīng)用程序都不同，因此必須以不同的方式進(jìn)行保護(hù)和評(píng)估。

這就是為什么以盡可能隔離工作負(fù)載的方式設(shè)計(jì)云環(huán)境是最佳實(shí)踐的一個(gè)原因（還有其他原因）。在 Kubernetes 中，這意味著為每個(gè)工作負(fù)載創(chuàng)建不同的命名空間——或者在可能的情況下創(chuàng)建集群。對(duì)于云虛擬機(jī)服務(wù)，這意味著每個(gè)虛擬機(jī)實(shí)例堅(jiān)持一個(gè)應(yīng)用程序。對(duì)于數(shù)據(jù)存儲(chǔ)，這意味著為每個(gè)數(shù)據(jù)集創(chuàng)建不同的存儲(chǔ)桶。等等。

您對(duì)工作負(fù)載的結(jié)構(gòu)化方式越細(xì)化，就越容易單獨(dú)審核每個(gè)工作負(fù)載，以及以未來合規(guī)性規(guī)則可能規(guī)定的任何方式保護(hù)每個(gè)工作負(fù)載。

2.標(biāo)簽，標(biāo)簽，標(biāo)簽

在大多數(shù)情況下，您可以將“標(biāo)簽”應(yīng)用于各種云資源。標(biāo)簽允許您命名和標(biāo)記資源，以便您以后可以更輕松地找到它們。

除了賦予更高的計(jì)費(fèi)可見性等好處外，標(biāo)簽在合規(guī)性證明中也發(fā)揮著重要作用。它們有助于確保您可以輕松找到所有工作負(fù)載，如果您需要識(shí)別某些工作負(fù)載，這可能很重要，因?yàn)樾碌暮弦?guī)要求適用于它們。如果沒有標(biāo)簽，弄清楚如何部署新的合規(guī)性規(guī)則的過程會(huì)更加混亂。

3.打開審計(jì)

您今天可能不需要審核給定的云工作負(fù)載。但是，如果未來合規(guī)性規(guī)則發(fā)生變化，那么該工作量很可能需要審計(jì)。

出于這個(gè)原因，啟用云審計(jì)服務(wù)（如AWS Audit Manager或 Kubernetes 審計(jì)日志）是一種最佳實(shí)踐，即使您還不需要它們。至少，您至少應(yīng)該確保您的工作負(fù)載以這樣一種方式進(jìn)行配置，以便它們?cè)趯硇枰獣r(shí)與審計(jì)工具兼容。您不想發(fā)現(xiàn)突然要求您對(duì)給定的工作負(fù)載執(zhí)行審計(jì)，但除非您徹底檢查工作負(fù)載，否則您不能這樣做。

4. 確保應(yīng)用程序和數(shù)據(jù)可以遷移到新的云區(qū)域

您也不想發(fā)現(xiàn)您需要在特定地理區(qū)域中托管應(yīng)用程序或數(shù)據(jù) - 這可能是由于數(shù)據(jù)主權(quán)要求- 但您不能因?yàn)樾枰w移的區(qū)域不支持工作負(fù)載.

一般來說，這不是主要風(fēng)險(xiǎn)，因?yàn)榇蠖鄶?shù)主要公共云的大多數(shù)區(qū)域都支持所有主要的云計(jì)算服務(wù)。但也有例外。例如，AWS CodeGuru 目前僅在 AWS 云區(qū)域的子集中受支持，如果由于新的合規(guī)性規(guī)則而需要在不受支持的區(qū)域中運(yùn)行它，這可能會(huì)帶來挑戰(zhàn)。

5. 使用多云工具

從合規(guī)性證明的角度來看，用于監(jiān)控、安全、審計(jì)和其他功能的工具在跨多個(gè)云工作時(shí)是最好的。

這是因?yàn)?，如果您需要將工作?fù)載移動(dòng)到不同的云來滿足不斷變化的合規(guī)性規(guī)則，理想情況下您不必采用一套全新的管理工具來執(zhí)行此操作。

僅適用于特定云平臺(tái)的工具（在大多數(shù)情況下，是云供應(yīng)商自己提供的工具）有其用途。它們可能對(duì)執(zhí)行基本的管理任務(wù)很有用，而且它們通常很容易部署和配置。但是，為了獲得最大的長(zhǎng)期合規(guī)性保證，優(yōu)先考慮跨任何云工作的工具。

結(jié)論

合規(guī)規(guī)則因其本質(zhì)而變得復(fù)雜。但是，當(dāng)您無法輕松滿足它們時(shí)，它們會(huì)變得更加復(fù)雜，因?yàn)橐?guī)則已經(jīng)更新并且您現(xiàn)有的云工作負(fù)載不再與新要求兼容。

好消息是，您可以采取措施確保您的云環(huán)境能夠輕松適應(yīng)不斷變化的合規(guī)環(huán)境，從而降低這種風(fēng)險(xiǎn)。啟用云審計(jì)、一致地標(biāo)記資源和隔離云工作負(fù)載等策略可幫助您實(shí)現(xiàn)目標(biāo)。