InfluxData 通过 SOC 2 认证

作者:Al Sargent / 公司, 产品
2021 年 1 月 28 日

导航至

在 InfluxData,我们专注于客户的生产力——我们称之为“实现卓越的时间”。通常,这与产品功能有关——InfluxDB 的特性、速度、可扩展性等。

但对于某些人来说,您的项目规模将增长到需要购买 InfluxDB 的程度。在某些情况下,您需要您的合规性和/或安全团队批准购买。虽然在最佳情况下这可能是一个缓慢的过程,但选择具有 SOC 2 认证的供应商可以帮助加快流程,让您可以重新专注于构建应用程序和系统。

因此,我们很高兴地宣布 InfluxDB Cloud 现在已通过 SOC 2?Type 1 和 Type 2 认证。我们的 SOC 2 证明报告可供客户查阅,但需签订保密协议,因为信息具有敏感性。要索取副本,请联系您的 InfluxData 客户经理,或发送电子邮件至 [email protected]

InfluxData SOC2

什么是 SOC 2 合规性?

服务组织控制 2 (SOC 2)美国注册会计师协会 (AICPA) 服务组织控制报告平台的组成部分。SOC 2 是一项技术审计流程和认证,可向客户保证他们的数据正在受控和审计的环境中进行管理。

当企业符合 SOC 2 标准时,这意味着独立的审计师已审查了他们的流程,以确保客户数据的安全性可用性机密性完整性隐私性,并验证他们是否符合 AICPA 的标准。

SOC 2 合规性对于在云中存储客户数据的基于技术的服务组织至关重要。这使其适用于大多数 SaaS 企业,以及任何依赖云存储其客户信息的企业。

两种类型的 SOC 2 审计

  • Type I: 该报告描述了供应商的系统,以及他们的设计是否适合满足相关的信任原则。
  • Type II: 本质上,Type II 是 Type I 随时间推移的版本;它包含一个历史要素,显示企业在至少六个月的时间内如何管理控制。

InfluxDB Cloud 在 2020 年 3 月成为 SOC 2 Type I 合规,并且截至 2021 年 1 月,成为 SOC 2 Type II 合规。

soc2 type1 type2<figcaption> 来源:Fractional CISO</figcaption>

为什么 SOC 2 合规性很重要?

客户信任

一家典型的公司通常有100 到 300 个 SaaS 应用程序。假设您为任何给定的 SaaS 应用程序类别评估三个供应商。这意味着 300 到近 1000 个供应商。查看具有 SOC 2 合规性的供应商提供了一种快速筛选掉那些没有投资于获得客户信任的政策和流程的供应商的方法。

客户合规性要求

我们的数千名客户在 InfluxDB Cloud 中存储了海量数据。这些数据包括从其内部计算系统的详细信息到其用户的行为的所有内容。可以理解的是,在一个地方存放如此多的数据有时需要我们的客户,尤其是较大的客户,要求 InfluxDB Cloud 达到 SOC 2 合规性。通常,这来自内部合规性和采购团队。现在 InfluxDB Cloud 拥有 SOC 2 认证,来自这些团队的批准应该会更快。

其他认证的基础

SOC 2 要求与 ISO 27001 的要求相似,ISO 27001 是我们计划解决的其他认证之一。

influxdata certifications roadmap<figcaption> 来源:@wocintechchat on Unsplash</figcaption>

我们的 SOC 2 审计包括什么?

我们的 SOC 2 审计侧重于许多标准,其中之一是可用性。在 SOC 2 的上下文中,可用性简单来说是指 InfluxDB Cloud 是否按照合同或服务级别协议 (SLA) 的规定可访问。

我们采取了许多步骤来确保 InfluxDB Cloud 的持续可用性。对于数据持久性,InfluxDB Cloud 在云区域的三个可用区中复制存储层中的所有数据,自动创建备份,并验证复制的数据是否一致且可读。您可以在我们的 状态页面上跟踪 InfluxDB Cloud 的可用性,并在本视频中查看我们更多的可用性实践

我们的 SOC 2 报告的其他方面包括

  • 监控: 在即将发布的文章中,我们将描述我们如何使用 InfluxDB Cloud 来监控对我们自己系统的访问。
  • 审计: 我们使用 InfluxDB Cloud 来审计系统访问。使用时间序列数据库而不是传统的 SIEM,使我们能够以更低的成本存储更多事件,因为时间序列数据库避免了日志文件中固有的噪声数据。
  • 警报: InfluxDB Cloud 支持一系列警报选项,我们使用这些选项在检测到潜在的漏洞时收到通知。

SOC2 compliance InfluxData<figcaption> 来源:@tool_inc on Unsplash</figcaption>

需要获得 SOC 2 合规性?

由于你们中的许多人是开发人员,您可能会问自己,我如何使自己的云服务或 SaaS 应用程序符合 SOC 2 标准?

以下是您可以采取的一些步骤,可以简化您获得 SOC 2 认证的过程并提高您的整体安全态势

  • 使用单点登录 (SSO),使用 OktaGoogle Cloud Identity 或类似工具,登录到您的应用程序和 VPN,并将多因素身份验证 (MFA) 集成到您的 SSO 中。
  • 保护您的代码仓库,通过锁定您的部署分支,要求拉取请求合并到其中,并使用持续集成/持续部署 (CI/CD) 来自动化您的部署。
  • 集中您的日志记录,使用 SIEM 和/或时间序列数据库
  • 自动化配置,使用 Terraform 或类似工具,将配置存储在 GitHub 或类似的安全代码仓库中。
  • 保护您的云配置,例如通过在 AWS 上使用 CloudTrailAssumeRole
  • 供应商安全,通过跟踪您使用的所有软件并了解他们的安全态势。
  • 保护管理控制台,通过将您的管理控制台置于 VPN 之后,并且只能通过 SSO 和 MFA 访问。

当然,SOC 2 认证需要的远不止这些,但实施上述措施应该会有所帮助。关于 SOC 2 合规性的现实情况,这篇博客文章中还有更多内容,值得一读。

结论

SOC 2 合规性只是我们使 InfluxDB Cloud 更易于购买的旅程中的又一步,这是我们整体用户体验的一部分。该旅程中早期的步骤包括将 InfluxDB Cloud 放入 AWS MarketplaceGoogle Cloud marketplaceAzure marketplace,以及我们 基于使用量的定价,让您可以控制您的云数据库支出。

如果您对我们的 SOC 2 合规性有其他疑问,或者想查看我们的 SOC 2 报告,请联系我们,以便我们为您提供帮助。