IBM Cloud Docs
Kontinuierliche Compliance als Unternehmen

Kontinuierliche Compliance als Unternehmen

Mit kontinuierlicher Sicherheit und Compliance im Kern der Plattform von IBM Cloud®finden Sie eine standardkonforme Infrastruktur für das Hosting Ihrer regulierten Workloads in der Cloud. Von einsatzfähigen Architekturen für sichere Infrastrukturen und DevSecOps bis hin zur kontinuierlichen Validierung durch Security and Compliance Center können Sie sicher sein, dass Ihr Unternehmen in jeder Phase der Entwicklung sicher und konform ist.

Videomitschrift

Hallo, ich bin Chris Mitchell, ein STSM und Architekt für IBM Cloud.

Unternehmen von heute sind gefordert, Risiken und Compliance unter Kontrolle zu halten, Kosten einzusparen und Innovationen freizusetzen.

Hier bei IBM Cloudverstehen wir die Komplexität und Herausforderungen bei der Optimierung für Sicherheit und Compliance, die Reduzierung der Vorlaufzeit für die Implementierung neuer Systeme und die erfolgreiche Ausführung einer sicheren und konformen Infrastruktur.

IBM Cloud ist die erste sichere und standardkonforme Cloud für regulierte Branchen. Es wurde speziell für die Risikominderung entwickelt und ist als Hub für IT-Sicherheit und Compliance im Unternehmen konzipiert.

Mit der Integration von Sicherheit und Compliance über unseren Katalog von implementierbaren Architekturen und anderen Tools können Sie den Prozess der Definition von Konformitätsprofilen, der Implementierung einer sicheren Infrastruktur und der Bewertung der Konformität Ihrer Unternehmensworkloads optimieren.

Um Ihre Ziele für die Bewertung Ihrer Workloads zu definieren, können Sie eines der vordefinierten Compliance-Profile von IBM Cloudverwenden, z. B. IBM Cloud Framework for Financial Services, oder Sie können Ihr eigenes benutzerdefiniertes Profil im IBM Cloud Security and Compliance Center erstellen.

Abhängig von Ihren definierten Compliance-Standards und Infrastrukturanforderungen können Sie dann die Vorteile der automatisierten, gut dokumentierten Architekturmuster nutzen, die im Katalog verfügbar sind und auf dem IBM Cloud Framework for Financial Services basieren.

Die Referenzarchitekturen IBM Cloud Framework for Financial Services basieren auf einer Reihe von Best Practices für Cloud-Infrastruktur und Software as a Service.

Wenn Sie die Infrastruktur mithilfe dieser bereitstellbaren Architekturen bereitstellen, erfüllen Sie die definierten Kontrollen und bleiben innerhalb der Beschränkungen des IBM Cloud Framework for Financial Services. Dies kann dazu beitragen, das Rätselraten aus der Erstellung sicherer und konformer Muster für die Infrastruktur in Ihrem Unternehmen herauszuholen.

Jede implementierbare Architektur kann mithilfe eines IBM Cloud-Projekts bereitgestellt und konfiguriert werden. Projekte unterstützen einen vereinfachten Prozess für die Implementierung wiederholt anwendbarer Infrastrukturmuster mit integrierten Konformitätsprüfungen.

Mit Projekten können Sie Änderungen an Infrastrukturkosten und Konformitätsprüfungen auf der Basis Ihrer Konfiguration der Architektur vor der Implementierung überprüfen. Dies trägt dazu bei, auf Ihrem Weg Transparenz und Vertrauen aufzubauen.

Wenn Sie bereit sind, die Konformität Ihrer implementierten Cloudressourcen anhand Ihrer definierten Standards zu bewerten, können Sie das Security and Compliance Center verwenden, um Ressourcen in Ihren Konten zu bewerten.

Unabhängig davon, ob es sich um eine einmalige Bewertung oder wiederkehrende Scans handelt, können Sie sich auf Audits vorbereiten, indem Sie eine klare Sicht auf die Sicherheit und Compliance Ihres Unternehmens haben.

Um die kontinuierliche Compliance Ihrer Cloudressourcen sicherzustellen, können Sie Benachrichtigungen einrichten, um benachrichtigt zu werden, sobald ein Problem gefunden wird, damit Ihr Team bei der Behebung von Problemen auf dem Laufenden bleibt.

Mit den Architekturen und Sicherheitstools, die über IBM Cloudverfügbar sind, können Sie Ihre Complianceziele von Anfang an definieren, sichere Lösungen mit Automatisierung implementieren und konform bleiben, während Sie Ihre Ressourcen im richtigen Maß verwalten.

Weitere Informationen zur kontinuierlichen Compliance als Unternehmen finden Sie in der Dokumentation. https://cloud.ibm.com/docs/secure-enterprise

Verfügbare Steuerelemente überprüfen

Als reguliertes Unternehmen gibt es bestimmte Standards, die für Ihre Branche gelten und deren Einhaltung Sie nachweisen müssen. In Security and Compliance Centerkönnen Sie die Profile anzeigen, die von IBM® angeboten werden, die Ihren Anforderungen entsprechen. Wenn Sie beispielsweise ein Finanzinstitut sind, möchten Sie möglicherweise die Bibliothek IBM Cloud für Finanzdienstleistungen verwenden. Wenn die Steuergruppe, nach der Sie suchen, nicht angezeigt wird, können Sie immer eine angepasste erstellen. Nachdem Sie die Bibliotheken überprüft haben, können Sie bestimmte Konformitätssteuerelemente in ein Profil extrahieren, das ausgewertet werden kann.

In der Untersuchungsphase können Sie auch die verfügbaren implementierbaren Architekturen der Infrastruktur im Katalog überprüfen. IBM Cloud hat eine Automatisierung für die Implementierung allgemeiner Architekturmuster erstellt, die eine oder mehrere Cloudressourcen kombinieren und für einfache Skalierbarkeit und Modularität konzipiert sind. Sie können die Komponenten der Architektur und die Konformitätsstufe überprüfen, die jede implementierbare Architektur erfüllt, indem Sie die Details direkt auf den Seiten mit den Katalogdetails prüfen. Sie können diese Architekturen an Ihre Anforderungen anpassen.

IBM Cloud katalog mit einsatzfähigen Architekturkacheln Katalog mit einsatzfähigen Architekturkacheln
IBM Cloud

Infrastruktur und Anwendungen bereitstellen

Nachdem Sie nun ausgewertet haben, was Ihnen unter IBM Cloud zur Verfügung steht, und wissen, was angepasst werden muss oder was unverändert verwendet werden kann, ist es an der Zeit, mit der Arbeit zu beginnen! Die Entwickler in Ihren Teams können mit der Bereitstellung Ihrer Infrastruktur-und Anwendungsworkloads beginnen.

Ihr Team kann Projekte verwenden, um Ihre Unternehmensbereitstellungen zu organisieren und sicherzustellen, dass Festschreibungsprüfungen, Schwachstellenscans und Kostenschätzungen durchgeführt werden, wenn implementierbare Architekturen konfiguriert sind. Im Kontext eines Projekts können Sie Infrastrukturressourcen aus genehmigten, konformen IBM Cloud-oder privaten Katalogangeboten mithilfe einer bereitstellbaren Architektur ohne großen Aufwand bereitstellen. Durch die Verwendung einer vordefinierten implementierbaren Architektur können Sie sicherstellen, dass Sie die Konformitätsstandards erfüllen, denen die Architektur zugeordnet ist. Sie können auch ein eigenes Onboarding durchführen und die Steuerelemente in Security and Compliance Center angeben, mit denen Ihre Architektur konform ist.

Bevor Sie eine Architektur implementieren, wird eine Validierungsprüfung für Ihre Konfiguration sowohl auf Konformität als auch auf Risiko durchgeführt, sodass Sie alle gefundenen Probleme beheben können. Sie können die Protokolle über den Service IBM Cloud® Schematics anzeigen, um festzustellen, welche Ressourcen betroffen sind, und zu überlegen, ob das markierte Problem behoben oder überschrieben werden soll, und weiter zu gehen.

Nachdem Ihre Infrastruktur bereitgestellt und Ihre DevSecOps konfiguriert sind, können Sie Ihre Anwendung mithilfe der DevSecOps für kontinuierliche Integration und kontinuierliche Bereitstellung bereitstellen. Diese Pipelines können Ihrem Unternehmen helfen, nach links zu wechseln und die Möglichkeit von menschlichem Fehler oder die Einführung neuer Schwachstellen zu verringern, bevor der Code jemals in die Produktion gelangt, um wichtige Sicherheits-und Finanzrisiken zu mindern.

Eine visuelle Darstellung eines Prozesses, der kontinuierliche Integration, Implementierung und Compliance umfasst.
Kontinuierliche Integration, Bereitstellung und Compliance

Einhaltung von Vorschriften

Nachdem Sie Ressourcen bereitgestellt haben, von denen Sie wissen, dass sie konform sind, können Sie auf zwei Arten sicherstellen, dass Sie konform bleiben. Zunächst müssen Sie Ihre Ressourcenkonfigurationen mit Security and Compliance Centervalidieren. Security and Compliance Center überprüft regelmäßig Ihre Konfigurationen der Ressourcen in Ihrem Konto, um sicherzustellen, dass es keine Konformitätsabweichung gab.

Eine visuelle Darstellung des Security and Compliance Center
Security and Compliance Center

Zweitens können Sie sicherstellen, dass Sie Ihren Code mithilfe von DevSecOps bereitstellen. Wenn Sie die kontinuierliche Compliance-Toolchain verwenden, werden Scans für Ihre aktuellen Produktionscodeartefakte erneut ausgeführt. Durch dieses fortlaufende Scannen wird sichergestellt, dass jeder Code, der in der Produktionsumgebung implementiert wird, auf die neuesten bekannten Sicherheitslücken überprüft wird. Dies ermöglicht eine regelmäßige Überprüfung des implementierten Codes und die Korrektur aller neuen Probleme, die seit dem letzten Scan erkannt wurden.

Compliance und Auditbereitschaft sind von größter Bedeutung. Mit Security and Compliance Center können Sie die Steuerelemente definieren, die Sie erfüllen müssen, indem Sie vordefinierte oder angepasste Profile verwenden, die Profile einer Gruppe von Ressourcen oder einem Bereich zuordnen und regelmäßig geplante Auswertungen durchführen. Wenn die Bewertungen abgeschlossen sind, werden die Ergebnisse in einem Dashboard angezeigt, sodass Sie einen Gesamtüberblick über Ihre aktuelle Konformitätssituation im Vergleich zu den für Ihren Anwendungsfall wichtigen Kontrollmechanismen erhalten und Konformitätsberichte herunterladen können. Ihre Sicherheits-und Compliance-Manager können auch Benachrichtigungen einrichten, um benachrichtigt zu werden, wenn ein Problem gefunden wird, damit es schnell behoben werden kann. Darüber hinaus kann Security and Compliance Center Beweise aus Ihrer DevSecOps sammeln, die auf Ihrem Anwendungscode läuft, so dass es einen vollständigen Überblick über Ihre Compliance auf IBM Cloud geben kann.