什么是合规管理？

合规管理是监控和评估系统的持续过程，确保系统符合行业和安全标准，以及公司和监管政策及需求。

它涉及基础架构评估，以识别由于法规、政策或标准变更、错误配置或任何其他原因而不合规的系统。

合规管理非常重要，因为不合规可能导致罚款、安全漏洞、认证撤销，或给您的业务造成其他损害。时刻关注合规情况的变更和更新，可防止业务流程中断，节省资金。

要成功监控并管理企业基础架构的合规性，您将需要：

• 评估：识别不合规、容易受到攻击或未安装补丁的系统。
• 组织：按投入水平、影响和问题严重程度区分修复措施的轻重缓急。
• 修复：快速、轻松地对需要采取措施的系统进行补丁安装和重新配置。
• 报告：验证是否应用了更改并报告更改结果。

合规管理之所以困难的几个原因包括：

• 不断变化的安全及合规环境：安全威胁和合规变更变化极快，需要对新的威胁和不断变化的法规做出快速响应。
• 跨多个平台的分布式环境：随着基础架构在本地和云平台上越来越分散，全面了解您的环境及可能存在的风险和漏洞变得越来越困难。
• 大型环境和团队：庞大、复杂的基础架构和团队可能会使跨环境和企业协作变得复杂。事实上，系统复杂性会增加数据泄露的成本。

要想应对这些挑战中的每一个挑战，最好的办法是采用一种多层面的方法来监控所有环境，识别不符合监管要求的情况，解决这些不合规问题，不断更新直至合规，并记录这些更新。

这些最佳实践可帮助您了解所有法规变更的最新进展，使您的系统始终保持合规：

1. 定期系统扫描：日常监控可帮助您识别合规性问题及安全漏洞，避免其影响业务运营或者产生费用或延迟。
2. 部署自动化：随着基础架构规模的增大和变化，手动管理越来越具有挑战性。利用自动化可简化常见任务，改善一致性，并确保定期监控和报告，从而让您腾出时间来专注于业务的其他方面。
3. 一致的修补和补丁测试：使系统保持最新状态可提升安全性、可靠性、性能及合规性。您应每月打一次补丁，以便及时解决重大问题，并实现修补自动化。尽快安装解决重大错误和缺陷的补丁。将安装了补丁的系统重新投入使用之前，确保对其进行测试验收。
4. 连接您的工具：分布式环境通常包含用于每个平台的不同管理工具。通过应用编程接口（API）集成这些工具。这样，您便可以使用首选接口在其他工具中执行任务。减少接口使用量可简化运维，并能更好地了解环境中所有系统的安全性与合规性状态。

实用工具包括：

• 主动扫描：自动扫描可确保定期监控系统并向您发送问题警报，不会花费员工太多的时间和精力。
• 可指导行动的智能分析：为您的环境定制的信息可帮助您更快识别存在的合规性问题和安全漏洞、受影响的系统，以及可能受到的影响。
• 可自定义的结果：定义业务环境以减少误报，管理业务风险，并通过更形象的视图表明您的安全性与合规性状态是否理想。
• 规范性、优先修复：规范性修复说明免去了自己研究行动的需要，从而节约了时间，降低了出错风险。根据潜在影响和受影响的系统确定行动的优先次序可帮助您充分利用有限的修补期。
• 直观报告：生成有关修补了哪些系统、哪些系统需要修补以及哪些系统不符合安全与监管策略的清晰直观报告，可提高可审计性，并帮助您更好地了解环境状态。

在不增加时间或成本的情况下，自动化策略对培养检查系统是否合规的能力大有益处。手动合规性实践更耗时，容易出现人为错误，更难重复或验证。

选择正确的自动化技术是在混合环境中跨数据中心和网络软件系统进行快速实施的关键。这就是红帽大展身手的地方，其用于自动化和管理的全面端到端软件堆栈包括红帽® 企业 Linux®、红帽 Ansible® 自动化、红帽卫星，以及红帽智能分析。