在 IBM Cloud 上运行安全的企业工作负载
借助 IBM Cloud®平台核心的持续合规性,您的团队可以使用所有工具在云中安全地开发,部署和管理受监管的任务关键型企业工作负载。
对于高度监管的行业,例如金融服务,在云环境中实现持续合规是保护客户和应用数据的重要第一步。 从历史上看,这一过程是困难的,也是手动的,这使您的组织面临风险。 但是,借助 IBM Cloud,您可以使用预定义的可部署体系结构,使用 项目用于将资源和基础结构定义为代码部署并进行管理的工件集合。 自动执行基础架构即代码部署,并将自动安全检查集成到每天的工作流程中,以最大程度降低风险。
通过 IBM Cloud,您的整个团队 (从解决方案架构设计师,合规经理,基础架构 DevOps 团队) 到应用程序开发团队都可以使用左移方法,在开发和部署云解决方案时及早识别安全风险和风险。 这可将安全性和合规性作为工作流程和组织文化的中心,使您的企业能够满怀信心地在云中运行。 请查看以下视频,以了解有关 IBM Cloud 如何帮助您大规模加速和维护受监管标准的更多信息。
视频文字记录
大家好,我是 Mark Meredith,是 IBM Cloud的产品经理。
作为大型企业,您对规模,安全性,基础架构和治理的需求都影响着您的云迁移。
通过 IBM Cloud提供的工具,您可以启动并保持合规性,使用自动化,并确保使用安全的软件供应链完成部署,同时大规模管理资源。
创建安全,合规,稳健且可扩展的应用基础架构可能难以设置,维护成本高昂。
但是,如果尽可能使应用程序基础结构标准化,然后在同一基础结构上托管许多应用程序,那么可以降低操作成本。
您可以使用 IBM Cloud上的可部署体系结构和项目来执行此操作。
通过不断增长的可部署体系结构目录,您可以通过将其添加到项目并根据需要进行定制来快速入门。
但是,项目并非仅用于配置解决方案。 项目还支持您按组织中所关心的内容 (无论是应用程序还是业务单位) 来组织资源,以获取有关成本,可用性和合规性的有用视图。
项目已在监管中构建,确保仅部署经过验证的,合规的和已核准的代码。
实现受监管工作负载的持续安全和合规性是您的业务和我们的关键。 借助IBM Cloud Security and Compliance Center,您可以将每日自动合规性检查集成到您的开发生命周期中,以帮助最大限度地降低风险并为审计做好准备。
从自动创建帐户到仅授权 IBM Cloud 项目从核准的合规可部署架构部署资源,企业可以左移,减少可能导致重大安全或财务风险的人为错误。
访问 IBM Cloud 目录以查看缺省情况下的安全可部署体系结构,您可以将这些体系结构添加到项目以立即开始使用。
定义合规性策略
通过规划和定义企业在 IBM Cloud 上运行安全工作负载的目标,您可以缩短在云中构建基础架构和应用程序的生产时间。 通过 IBM Cloud,您可以在工作时利用我们的自动化和标准化最佳实践,从而节省业务时间和资金。 首先查看预定义的合规架构和控制库,了解您所在行业在云中的应用情况。
了解安全性和合规性需求
在完成在 IBM Cloud上运行企业解决方案的规划阶段时,请务必考虑贵组织必须满足的内部和外部标准。 例如,如果您是医疗机构,那么很可能需要证明您遵守 HIPAA 要求。 或者,如果您是金融机构,那么可能需要证明您符合 NIST 标准。 通过 IBM Cloud® Security and Compliance Center,您可以利用旨在帮助您验证和证明一组控件的合规性的预定义控件属性。
确定正确的基础架构架构
您可以查看 目录 中提供的可部署体系结构,而不是自行了解如何组装合规的基础架构体系结构。IBM Cloud 为组合一个或多个云资源 (称为可部署体系结构) 的公共体系结构模式的部署提供自动化。 每个 可部署体系结构云自动化用于部署公共体系结构模式,该模式组合了一个或多个云资源,这些资源旨在实现轻松部署、可伸缩性和模块化。 都由 IBM Cloud 专家按照 IBM Cloud 最佳实践进行构建和维护,以将猜测从体系结构设计过程中删除,并将部署所需的时间缩短到几分钟。 合规性管理器和解决方案架构设计师可以通过直接从目录详细信息页面查看详细信息,来查看体系结构的组件以及每个可部署体系结构所满足的合规性级别。
如果您在金融机构工作,那么可能希望使用 IBM Cloud Framework for Financial Services 已验证的产品。 该框架旨在建立信任并支持透明的公共云生态系统,重点关注金融机构所需的安全性,合规性和弹性的特定功能。 有关 IBM Cloud Framework for Financial Services的更多信息,请参阅 IBM Cloud Framework for Financial Services 入门。 首先,您可以对目录进行过滤,以仅查看已验证金融服务的产品。 而且,即使您不在金融行业,您也可以放心,这些产品符合针对敏感数据和复杂工作负载的严格行业法规。
配置和部署合规的体系结构和应用程序
当您的团队评估并选择了可部署体系结构时,开发工程师可以使用 项目 对其进行配置,以满足企业的业务需求。
项目是一组指定的配置,用于跨帐户管理相关资源和基础结构即代码 (IaC) 部署。 它们使您的团队能够通过使用 DevOps 最佳实践来配置,部署和监视部署,从而专注于左移方法。 每个项目都包含一些工具,用于扫描潜在的有害资源更改,合规性,安全性和成本,以及跟踪版本控制和治理。 它们是使用 IaC 和合规性优先方法设计的,有助于确保项目管理,安全且始终合规。
您可以 定制和扩展 IBM Cloud 可部署体系结构,以确保该体系结构满足您的需求。 然后,您可以利用帐户中的专用目录,使定制可部署体系结构仅对企业成员可用。 将定制可部署体系结构加载到专用目录后,有权访问该专用目录的用户可以从项目对其进行配置和部署。
保护软件供应链
您的团队可以利用IBM Cloud实现经济高效的软件交付和积极主动的安全实践。DevSecOps。 DevSecOps应用程序生命周期管理可部署架构 提供了一种简化的方法,用于建立持续集成(CI)、持续开发(CD)和持续合规性(CC)工具链,以实现安全、敏捷的应用程序开发。
通过使用DevSecOps应用程序生命周期管理可部署架构来建立管理应用程序代码生命周期的框架,您可以将安全性和合规性放在开发生命周期的最前沿,并让您的团队实施自动化的左移开发方法。
CI 工具链 提供了一些管道,用于扫描代码和构建工件,及早捕获安全问题,并防止将这些问题引入到产品配置中,同时收集可用于审计的证据。 CD 工具链 会检查所需的证据,生成具有证据摘要和更改描述的变更请求文档,并根据您组织的安全策略的合规性进行检测部署。 并且,由于可能会始终发现先前未知的新漏洞,因此您可以利用 CC 工具链 来持续评估已在生产中的代码的应用程序安全性和合规性状况。
要了解更多信息,请参阅 DevSecOps文档。
评估和维护企业工作负载的合规性
虽然IBM Cloud减少了建立合规企业应用程序的时间和复杂性,但您仍需确保维护合规性。 为此,您可以使用Security and Compliance Center对资源配置进行自动评估。 评估结果将在Security and Compliance Center的仪表板中提供,您也可以收到变更通知。 您可以快速评估组织面临的风险,解决问题并生成报告,从而使您始终处于审计就绪状态。
此外,使用DevSecOpsCI/CD/CC 工具链还有助于将控制评估自动化作为开发流程的一部分,并阻止不合规的变更被推广。 以这种方式管理应用程序代码可确保您具有满足行业所需的合规性标准所需的证据和变更历史记录。 有关采用左移方式部署代码的更多信息,请参阅 DevSecOps架构。
在 IBM Cloud 上开始使用企业工作负载
通过 IBM Cloud提供的工具,您可以启动并保持自动化合规性,并确保使用安全的软件供应链完成部署,同时大规模管理资源。 立即转至 IBM Cloud 目录 以检出可部署体系结构,并访问 Security and Compliance Center 以开始定义安全性与合规性的目标。
有关设置企业,使用项目配置自动化部署,定制可部署体系结构等的更多信息,请参阅 企业帐户体系结构 白皮书和 运行安全的企业工作负载 文档。
如果您已经在云上运行工作负载,但尚未利用企业帐户结构或工具 (例如 IBM Cloud 项目) 来跨帐户管理相关资源和 IaC 部署,那么可以查看有关 移至企业体系结构 的白皮书,并 了解如何将现有部署资源移至项目。