關于合規(guī)的棘手問題之一是規(guī)則總是在變化。不僅大多數(shù)合規(guī)框架會定期更新，而且還會引入新的合規(guī)框架，例如近年來的GDPR 和 CCPA/CPRA。

對于云架構師和開發(fā)人員來說，這種模式引出了一個問題：您如何確保您的云環(huán)境不僅符合您今天需要滿足的規(guī)則，還符合未來可能出現(xiàn)的規(guī)則？您如何避免由于合規(guī)性要求的意外變化而不得不顛覆您的云戰(zhàn)略？

相關： AWS 可能失去其主導云市場份額的 4 個原因

當然，這些問題沒有簡單的答案。但是通過戰(zhàn)略性地思考云環(huán)境的設計和管理方式，可以對您的云進行“合規(guī)性證明”，這意味著運行一個滿足未來合規(guī)性要求的云，即使您目前不知道這些要求可能是什么。

這里有五個這樣的技巧可以幫助使 云長期兼容。

1. 隔離云工作負載

相關： 什么是云安全？

您運行的應用程序越多，就越難確保這些應用程序符合合規(guī)性規(guī)則——尤其是如果每個應用程序都不同，因此必須以不同的方式進行保護和評估。

這就是為什么以盡可能隔離工作負載的方式設計云環(huán)境是最佳實踐的一個原因（還有其他原因）。在 Kubernetes 中，這意味著為每個工作負載創(chuàng)建不同的命名空間——或者在可能的情況下創(chuàng)建集群。對于云虛擬機服務，這意味著每個虛擬機實例堅持一個應用程序。對于數(shù)據(jù)存儲，這意味著為每個數(shù)據(jù)集創(chuàng)建不同的存儲桶。等等。

您對工作負載的結構化方式越細化，就越容易單獨審核每個工作負載，以及以未來合規(guī)性規(guī)則可能規(guī)定的任何方式保護每個工作負載。

2.標簽，標簽，標簽

在大多數(shù)情況下，您可以將“標簽”應用于各種云資源。標簽允許您命名和標記資源，以便您以后可以更輕松地找到它們。

除了賦予更高的計費可見性等好處外，標簽在合規(guī)性證明中也發(fā)揮著重要作用。它們有助于確保您可以輕松找到所有工作負載，如果您需要識別某些工作負載，這可能很重要，因為新的合規(guī)要求適用于它們。如果沒有標簽，弄清楚如何部署新的合規(guī)性規(guī)則的過程會更加混亂。

3.打開審計

您今天可能不需要審核給定的云工作負載。但是，如果未來合規(guī)性規(guī)則發(fā)生變化，那么該工作量很可能需要審計。

出于這個原因，啟用云審計服務（如AWS Audit Manager或 Kubernetes 審計日志）是一種最佳實踐，即使您還不需要它們。至少，您至少應該確保您的工作負載以這樣一種方式進行配置，以便它們在將來需要時與審計工具兼容。您不想發(fā)現(xiàn)突然要求您對給定的工作負載執(zhí)行審計，但除非您徹底檢查工作負載，否則您不能這樣做。

4. 確保應用程序和數(shù)據(jù)可以遷移到新的云區(qū)域

您也不想發(fā)現(xiàn)您需要在特定地理區(qū)域中托管應用程序或數(shù)據(jù) - 這可能是由于數(shù)據(jù)主權要求- 但您不能因為需要遷移的區(qū)域不支持工作負載.

一般來說，這不是主要風險，因為大多數(shù)主要公共云的大多數(shù)區(qū)域都支持所有主要的云計算服務。但也有例外。例如，AWS CodeGuru 目前僅在 AWS 云區(qū)域的子集中受支持，如果由于新的合規(guī)性規(guī)則而需要在不受支持的區(qū)域中運行它，這可能會帶來挑戰(zhàn)。

5. 使用多云工具

從合規(guī)性證明的角度來看，用于監(jiān)控、安全、審計和其他功能的工具在跨多個云工作時是最好的。

這是因為，如果您需要將工作負載移動到不同的云來滿足不斷變化的合規(guī)性規(guī)則，理想情況下您不必采用一套全新的管理工具來執(zhí)行此操作。

僅適用于特定云平臺的工具（在大多數(shù)情況下，是云供應商自己提供的工具）有其用途。它們可能對執(zhí)行基本的管理任務很有用，而且它們通常很容易部署和配置。但是，為了獲得最大的長期合規(guī)性保證，優(yōu)先考慮跨任何云工作的工具。

結論

合規(guī)規(guī)則因其本質而變得復雜。但是，當您無法輕松滿足它們時，它們會變得更加復雜，因為規(guī)則已經(jīng)更新并且您現(xiàn)有的云工作負載不再與新要求兼容。

好消息是，您可以采取措施確保您的云環(huán)境能夠輕松適應不斷變化的合規(guī)環(huán)境，從而降低這種風險。啟用云審計、一致地標記資源和隔離云工作負載等策略可幫助您實現(xiàn)目標。