解决方案
合规审计
通过持续的合规性方法使审计变得轻松,该方法可提供整个资产(本地或云中)的最新状态。
人工审计的劣势
1、人工审计不完善且有风险
大多数组织都受到越来越多的监管制度规则的约束,同时还要应对快速升级的端点和环境进行测试。无论将多少时间和资源应用于审计周期,手动流程都无法跟上云规模和日益增长的复杂性,并代表不可接受的风险。尽管如此,行业数据(例如 Verizon 的 2018 年支付安全报告)表明,许多受 PCI-DSS 等合规制度约束的公司仍然依赖于手动方法。
例如,PCI Key Requirement 11 对公司是否正在测试其安全控制进行评分,是最失败的要求,近三分之一的公司不符合此规则。缺乏持续的合规性验证是导致全球 PCI 合规性水平相对较低的主要因素,2017 年只有 52.5% 的组织在临时 PCI DSS 验证中实现了完全合规性。
2、人工审计破坏组织效率
涉及在审计周期中手动检查环境的现有合规流程不仅速度缓慢,而且会转移宝贵的工程资源。缺乏自动化导致优先于产品开发的一次性请求源源不断。这些破坏性的升级以及由此产生的上下文切换既低效又难以管理。
比手动合规活动带来的混乱更麻烦的是对工程吞吐量的负面影响。虽然一次性或手动方法最终为审计员提供了他们需要的东西,但快速开发的工具和脚本通常会被丢弃且不可重用。您的开发人员和工程师将关键时间投入到既非面向产品也非创收的输出上。
Chef合规审计的优势
1、按需审计并在几分钟内修复合规性问题
通过对以代码形式表示的合规性和安全规则进行自动评估,采取持续合规性方法, Chef Compliance 使审计结果随时可用。检测违规行为,确定问题并确定其优先级,然后在整个车队中快速应用补救措施,从而节省时间、重新部署工程资源并降低与传统手动合规性检查相关的风险。
现在,DevSecOps 团队可以进入审计周期,了解他们的确切合规状况,而不是对审计员的发现感到惊讶。更重要的是,Chef Compliance 有助于展示您的合规状况如何随着时间的推移而演变和改进,让审计员有信心进行准确评估。
2、合规自动化在帮助提高效率的同时,还降低风险
生产环境的自动化审计是提高合规性的良好步骤。但是,当您“将合规性左移”并将合规性保证作为自动化测试在开发过程中根深蒂固时,您不仅在降低风险,而且在加速整个软件交付过程。Chef Compliance 可以帮助检测和纠正开发过程中的合规性问题,而不是在部署到生产之前仅仅依靠扫描方法 。这种方法有助于消除可能危及交付时间的代价高昂的后期更改,并有助于向审计员证明组织通过设计强制执行合规策略的能力。
在将扫描延迟到将更改推入生产之前需要手动筛选的大量数据只会增加低效率、混乱和返工。通过测试在流程的早期收集数据——并且在生产中以连续的方式收集数据——确保您能够及时回答审计员的问题,并让您相信系统在整个产品开发生命周期中都是安全和合规的。
持续合规前
持续合规后
