InfluxData已获得SOC 2认证

作者:Al Sargent / 公司产品
2021年1月28日

导航至

在InfluxData,我们专注于提高客户的效率——我们称之为“从糟糕到出色”。通常这涉及到产品功能——InfluxDB的功能、速度、可扩展性等。

但对于一些人来说,项目规模会增长到需要购买InfluxDB的程度。在某些情况下,您可能需要合规性和/或安全团队批准购买。尽管在最好的时候这可能是一个缓慢的过程,但选择具有SOC 2认证的供应商可以加快进程,让您能够重新专注于构建应用程序和系统。

因此,我们很高兴地宣布,InfluxDB Cloud现已获得SOC 2 Type 1和Type 2认证。我们的SOC 2认证报告可供客户在保密协议下查阅。如需索取副本,请联系您的InfluxData账户经理或[email protected]

InfluxData SOC2

SOC 2认证是什么?

服务组织控制 2 (SOC 2) 是美国注册会计师协会 (AICPA) 的服务组织控制报告平台的一个组成部分。SOC 2 是一种技术审计过程和认证,它向客户保证他们的数据在受控和受审的环境中被管理。

当一个业务符合 SOC 2 时,这意味着独立审计师已审查了他们的流程,以确保客户数据的 安全性可用性机密性完整性隐私性,并验证它们符合 AICPA 的标准。

SOC 2 合规性对于基于技术的服务组织至关重要,这些组织在云端存储客户数据。这使得它适用于大多数 SaaS 业务以及任何依赖云存储其客户信息的业务。

存在两种类型的 SOC 2 审核类型

  • 类型 I: 报告描述了供应商的系统,以及其设计是否适合满足相关信任原则。
  • 类型 II: 事实上,类型 II 是类型 I 的延续;它包括一个历史元素,显示了企业在至少六个月的最短期限内如何管理控制。

InfluxDB Cloud 于 2020 年 3 月成为 SOC 2 类型 I 合规,并于 2021 年 1 月成为 SOC 2 类型 II 合规。

soc2 type1 type2<figcaption> 来源: Fractional CISO</figcaption>

SOC 2 合规性为什么很重要?

客户信任

典型的公司通常有 100 到 300 个 SaaS 应用程序。假设你评估了任何给定 SaaS 应用程序类别的三个供应商。这意味着有 300 到近 1000 个供应商。查看符合 SOC 2 合规性的供应商可以快速筛选出那些没有投资于赢得客户信任的政策和流程的供应商。

客户合规性要求

成千上万的客户将大量数据存储在 InfluxDB Cloud 中。这些数据包括他们内部计算系统的详细信息以及用户的行为。可以理解的是,这么多数据集中在一个地方有时需要我们的客户,尤其是大型客户,要求 InfluxDB Cloud 成为 SOC 2 合规。这通常来自内部合规性和采购团队。现在 InfluxDB Cloud 已获得 SOC 2 认证,这些团队的批准应该更快。

其他认证的基础

SOC 2 要求与 ISO 27001 的要求类似,这是我们在额外的认证路线图上要解决的。

influxdata certifications roadmap<figcaption> 来源: @wocintechchat on Unsplash</figcaption>

我们的 SOC 2 审核包括哪些内容?

我们的 SOC 2 审核专注于多个标准,其中之一是 可用性。在 SOC 2 的背景下,可用性简单地说就是 InfluxDB Cloud 是否能够按照合同或服务级别协议 (SLA) 规定的方式访问。

我们采取了许多步骤来确保 InfluxDB Cloud 的持续可用性。为了 数据持久性,InfluxDB Cloud 在云区域的三个可用区中跨存储层复制所有数据,自动创建备份,并验证复制的数据是一致的且可读的。您可以在我们的 状态页面 上跟踪 InfluxDB Cloud 的可用性,并在本视频中查看我们的更多可用性实践

我们的SOC 2报告还包括其他方面:

  • 监控:在即将发表的博客文章中,我们将描述我们如何使用InfluxDB Cloud来监控对我们自身系统的访问。
  • 审计:我们使用InfluxDB Cloud进行系统审计。使用时间序列数据库而不是传统的SIEM,可以以更低的成本存储更多事件,因为时间序列数据库避免了日志文件中固有的噪声数据。
  • 警报:InfluxDB Cloud支持一系列警报选项,我们在检测到潜在违规时通过这些选项接收通知。

SOC2合规性InfluxData<figcaption>来源:@tool_incUnsplash</figcaption>

需要成为SOC 2合规性吗?

鉴于许多阅读这篇文章的人是开发者,你可能会问自己,我如何使自己的云服务或SaaS应用符合SOC 2标准?

以下是您可以采取的一些步骤,这些步骤可以简化您的SOC 2认证过程,并提高您的整体安全态势。

  • 使用单点登录(SSO)通过OktaGoogle Cloud Identity或类似的服务来登录您的应用程序和VPN,并在SSO中集成多因素身份验证(MFA)。
  • 保护您的代码库,通过锁定部署分支、要求合并请求合并到其中,并使用持续集成/持续部署(CI/CD)来自动化您的部署。
  • 集中日志管理,使用SIEM和/或时间序列数据库
  • 自动化配置,使用Terraform或类似工具,在GitHub或类似的安全存储库中存储配置。
  • 保护您的云配置,例如,通过在AWS上使用CloudTrailAssumeRole
  • 供应商安全,通过跟踪您使用的所有软件并了解它们的安全状况。
  • 保护管理控制台,通过将管理控制台置于只有通过SSO和MFA才能访问的VPN之后。

SOC 2认证当然需要比这更多,但实施上述步骤应该有所帮助。有关SOC 2合规性的现实情况,这篇文章有很多更多内容,值得一读。

结论

SOC 2合规性只是我们使InfluxDB Cloud更容易购买的旅程中的一步,这是我们整体用户体验的一部分。该旅程的早期步骤包括将InfluxDB Cloud放置在AWS MarketplaceGoogle Cloud marketplaceAzure marketplace和我们的基于使用情况的定价中,让您能够控制您的云数据库支出。

如果您对我们的SOC 2合规性有任何疑问,或想查看我们的SOC 2报告,请联系我们,我们将提供帮助。