安全保障對于大型組織至關重要,因為高級管理人員對安全的責任越來越大,但往往沒有時間深入研究其挑戰(zhàn),并且嚴重依賴安全和安全保障團隊。隨著自動化和基礎設施即代碼(IaC)在云端的興起,管理人員現(xiàn)在有了一個新的夢想:用云端提供的自動化保障報告取代手動、昂貴且以人為中心的保障,從而使保障更加有效。接下來,我們將通過仔細研究GoogleCloudPlatform(GCP)和Azure環(huán)境下的ISO27001云報告(一種常見的保障場景)來探索自動化安全保障的機會和局限性。
安全保障的作用
安全保障是組織風險管理框架中的第二道防線,通常按照內部審計師協(xié)會(IIA)的三線模型組織:
第一道防線:負責修補服務器、滲透測試或網絡設計等日常任務的運營團隊。
第二道防線:安全保障團隊負責驗證整個組織內安全控制措施的存在和正常運行,即第一道防線的工作。他們通常會根據NIST、CIS、HIPAA或ISO27001等標準進行檢查。
第三道防線:內部審計驗證第一道防線和第二道防線的工作。與第一道防線和第二道防線相比,內部審計向董事會或審計委員會報告獨立性。
外部審計師和監(jiān)管機構使這一局面更加完整。
在所有這些團隊中,二線組織可能從自動化云合規(guī)報告中受益最多,因為保證團隊尋求對整個組織、數(shù)據中心和應用的整體概述。相比之下,所有其他團隊的關注點都比較狹窄。
復雜應用環(huán)境的挑戰(zhàn)
應用環(huán)境的復雜性對安全保障提出了重大挑戰(zhàn)。擁有ISO27001證書的托管服務提供商非常優(yōu)秀,但如果不覆蓋應用層,則不夠。因此,全面了解數(shù)據中心至關重要:
基礎設施層涵蓋硬件、超大規(guī)模功能、云設置和網絡。供應商云基礎設施和客戶數(shù)據中心的安全架構至關重要,例如,在網絡分區(qū)方面。其他方面包括彈性,例如應急電源和對環(huán)境影響的保護。
操作系統(tǒng)層注重充分的配置和及時的更新,包括安全監(jiān)控和報告集成。
正確的配置、定期更新和修補對于數(shù)據庫、API網關以及目錄或消息服務等中間件組件至關重要。
應用層包括基于中間件組件構建的軟件,并整合了云PaaS、SaaS和外部服務。安全設計和軟件工程實踐以及更新和修補第三方組件至關重要。
安全保障的一個特別重點是集成。應用程序很少獨立運行;它們會相互作用。交互和集成點是典型的斷點——尤其是當不同團隊和組織的職責結合在一起時。
云提供商保證報告
對于云工作負載,安全保障團隊必須評估并收集每個組件是否符合安全標準的證據,包括云提供商運行的組件和配置。幸運的是,云提供商提供可下載的保障和合規(guī)證書。這些證書和報告對于云提供商的業(yè)務至關重要。尤其是大型客戶,只與遵守與這些客戶相關的標準的供應商合作。確切的標準因客戶所在的管轄區(qū)和行業(yè)而異。
這些云安全保障報告涵蓋了基礎設施層以及云提供商的IaaS、PaaS和SaaS服務的安全性。它們不涵蓋客戶特定的配置、修補或操作,包括保護AWSS3存儲桶免受未經授權的訪問或修補虛擬機??蛻羰欠癜踩嘏渲眠@些服務并將它們充分組合在一起取決于客戶,客戶安全保障團隊必須驗證這一點。
針對客戶云環(huán)境的保證報告
確保云安全保障和合規(guī)性需要根據ISO27001:2022等標準進行驗證,這涉及許多控制措施。保障專家必須收集云提供商保障報告未涵蓋的組件和配置的證據。隨著云提供商提供內置保障報告,人們有望通過自動證據收集大幅減少保障工作。然而,我們從Azure和GCP中得到的例子表明,希望和現(xiàn)實并不完全匹配(目前還不完全匹配)。
Google自下而上地處理這個問題,將漏洞和錯誤配置映射到特定標準(如ISO27001)中可能受影響的控制措施。例如,如果虛擬機具有公共IP(安全禁忌),GCP會將其解釋為違反了四項ISO控制措施:A5.10、A5.15、A8.3和A8.4。因此,GCP報告通過列出存在許多違規(guī)行為的控制措施來幫助識別薄弱環(huán)節(jié)。但是,這些報告無法取代人工評估(至少對于ISO27001來說不能),因為它們無法涵蓋ISO27001中特別重要的基本操作和程序主題。
Azure
微軟的Azure采用了不同的方法,即實施自上而下的理念。它列出了所有控制措施(例如ISO27001的控制措施),并為每個ISO控制措施提供了策略以驗證其實施情況。Azure提供了自動合規(guī)性報告,但只針對其中的少數(shù)策略。許多策略需要人工評估。例如,只有五分之一的控制措施“信息分類”是自動化的。因此,最好將Azure策略理解為針對云安全保障的定制待辦事項列表,類似于ISO27002文檔。ISO27002和Azure報告提供了實施ISO27001控制措施的詳細規(guī)則和指南。Azure方法的這種特征意味著Azure不會自動化其客戶的大部分安全保障工作。
總而言之,云提供商保證報告非常適合識別客戶應用環(huán)境中的錯誤配置和漏洞。但是,用自動生成的保證報告取代人工專家是不現(xiàn)實的,至少對于ISO27001來說是這樣,正如我們在討論GCP和Azure功能時所解釋的那樣。在多云環(huán)境中,挑戰(zhàn)甚至會加劇,因為工作負載在Azure、AWS、阿里云和GCP中,組織往往以一致的保證報告為目標,或者如果審計師和監(jiān)管機構要求深入覆蓋特定控制或詳細證據。
免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。