云安全保障：自動化正在改變游戲規(guī)則嗎？

安全保障對于大型組織至關(guān)重要，因?yàn)楦呒壒芾砣藛T對安全的責(zé)任越來越大，但往往沒有時(shí)間深入研究其挑戰(zhàn)，并且嚴(yán)重依賴安全和安全保障團(tuán)隊(duì)。隨著自動化和基礎(chǔ)設(shè)施即代碼(IaC)在云端的興起，管理人員現(xiàn)在有了一個新的夢想：用云端提供的自動化保障報(bào)告取代手動、昂貴且以人為中心的保障，從而使保障更加有效。接下來，我們將通過仔細(xì)研究GoogleCloudPlatform(GCP)和Azure環(huán)境下的ISO27001云報(bào)告（一種常見的保障場景）來探索自動化安全保障的機(jī)會和局限性。

安全保障的作用

安全保障是組織風(fēng)險(xiǎn)管理框架中的第二道防線，通常按照內(nèi)部審計(jì)師協(xié)會(IIA)的三線模型組織：

第一道防線：負(fù)責(zé)修補(bǔ)服務(wù)器、滲透測試或網(wǎng)絡(luò)設(shè)計(jì)等日常任務(wù)的運(yùn)營團(tuán)隊(duì)。

第二道防線：安全保障團(tuán)隊(duì)負(fù)責(zé)驗(yàn)證整個組織內(nèi)安全控制措施的存在和正常運(yùn)行，即第一道防線的工作。他們通常會根據(jù)NIST、CIS、HIPAA或ISO27001等標(biāo)準(zhǔn)進(jìn)行檢查。

第三道防線：內(nèi)部審計(jì)驗(yàn)證第一道防線和第二道防線的工作。與第一道防線和第二道防線相比，內(nèi)部審計(jì)向董事會或?qū)徲?jì)委員會報(bào)告獨(dú)立性。

外部審計(jì)師和監(jiān)管機(jī)構(gòu)使這一局面更加完整。

在所有這些團(tuán)隊(duì)中，二線組織可能從自動化云合規(guī)報(bào)告中受益最多，因?yàn)楸ＷC團(tuán)隊(duì)尋求對整個組織、數(shù)據(jù)中心和應(yīng)用的整體概述。相比之下，所有其他團(tuán)隊(duì)的關(guān)注點(diǎn)都比較狹窄。

復(fù)雜應(yīng)用環(huán)境的挑戰(zhàn)

應(yīng)用環(huán)境的復(fù)雜性對安全保障提出了重大挑戰(zhàn)。擁有ISO27001證書的托管服務(wù)提供商非常優(yōu)秀，但如果不覆蓋應(yīng)用層，則不夠。因此，全面了解數(shù)據(jù)中心至關(guān)重要：

基礎(chǔ)設(shè)施層涵蓋硬件、超大規(guī)模功能、云設(shè)置和網(wǎng)絡(luò)。供應(yīng)商云基礎(chǔ)設(shè)施和客戶數(shù)據(jù)中心的安全架構(gòu)至關(guān)重要，例如，在網(wǎng)絡(luò)分區(qū)方面。其他方面包括彈性，例如應(yīng)急電源和對環(huán)境影響的保護(hù)。

操作系統(tǒng)層注重充分的配置和及時(shí)的更新，包括安全監(jiān)控和報(bào)告集成。

正確的配置、定期更新和修補(bǔ)對于數(shù)據(jù)庫、API網(wǎng)關(guān)以及目錄或消息服務(wù)等中間件組件至關(guān)重要。

應(yīng)用層包括基于中間件組件構(gòu)建的軟件，并整合了云PaaS、SaaS和外部服務(wù)。安全設(shè)計(jì)和軟件工程實(shí)踐以及更新和修補(bǔ)第三方組件至關(guān)重要。

安全保障的一個特別重點(diǎn)是集成。應(yīng)用程序很少獨(dú)立運(yùn)行；它們會相互作用。交互和集成點(diǎn)是典型的斷點(diǎn)——尤其是當(dāng)不同團(tuán)隊(duì)和組織的職責(zé)結(jié)合在一起時(shí)。

云提供商保證報(bào)告

對于云工作負(fù)載，安全保障團(tuán)隊(duì)必須評估并收集每個組件是否符合安全標(biāo)準(zhǔn)的證據(jù)，包括云提供商運(yùn)行的組件和配置。幸運(yùn)的是，云提供商提供可下載的保障和合規(guī)證書。這些證書和報(bào)告對于云提供商的業(yè)務(wù)至關(guān)重要。尤其是大型客戶，只與遵守與這些客戶相關(guān)的標(biāo)準(zhǔn)的供應(yīng)商合作。確切的標(biāo)準(zhǔn)因客戶所在的管轄區(qū)和行業(yè)而異。

這些云安全保障報(bào)告涵蓋了基礎(chǔ)設(shè)施層以及云提供商的IaaS、PaaS和SaaS服務(wù)的安全性。它們不涵蓋客戶特定的配置、修補(bǔ)或操作，包括保護(hù)AWSS3存儲桶免受未經(jīng)授權(quán)的訪問或修補(bǔ)虛擬機(jī)。客戶是否安全地配置這些服務(wù)并將它們充分組合在一起取決于客戶，客戶安全保障團(tuán)隊(duì)必須驗(yàn)證這一點(diǎn)。

針對客戶云環(huán)境的保證報(bào)告

確保云安全保障和合規(guī)性需要根據(jù)ISO27001:2022等標(biāo)準(zhǔn)進(jìn)行驗(yàn)證，這涉及許多控制措施。保障專家必須收集云提供商保障報(bào)告未涵蓋的組件和配置的證據(jù)。隨著云提供商提供內(nèi)置保障報(bào)告，人們有望通過自動證據(jù)收集大幅減少保障工作。然而，我們從Azure和GCP中得到的例子表明，希望和現(xiàn)實(shí)并不完全匹配（目前還不完全匹配）。

Google

Google自下而上地處理這個問題，將漏洞和錯誤配置映射到特定標(biāo)準(zhǔn)（如ISO27001）中可能受影響的控制措施。例如，如果虛擬機(jī)具有公共IP（安全禁忌），GCP會將其解釋為違反了四項(xiàng)ISO控制措施：A5.10、A5.15、A8.3和A8.4。因此，GCP報(bào)告通過列出存在許多違規(guī)行為的控制措施來幫助識別薄弱環(huán)節(jié)。但是，這些報(bào)告無法取代人工評估（至少對于ISO27001來說不能），因?yàn)樗鼈儫o法涵蓋ISO27001中特別重要的基本操作和程序主題。

Azure

微軟的Azure采用了不同的方法，即實(shí)施自上而下的理念。它列出了所有控制措施（例如ISO27001的控制措施），并為每個ISO控制措施提供了策略以驗(yàn)證其實(shí)施情況。Azure提供了自動合規(guī)性報(bào)告，但只針對其中的少數(shù)策略。許多策略需要人工評估。例如，只有五分之一的控制措施“信息分類”是自動化的。因此，最好將Azure策略理解為針對云安全保障的定制待辦事項(xiàng)列表，類似于ISO27002文檔。ISO27002和Azure報(bào)告提供了實(shí)施ISO27001控制措施的詳細(xì)規(guī)則和指南。Azure方法的這種特征意味著Azure不會自動化其客戶的大部分安全保障工作。

總而言之，云提供商保證報(bào)告非常適合識別客戶應(yīng)用環(huán)境中的錯誤配置和漏洞。但是，用自動生成的保證報(bào)告取代人工專家是不現(xiàn)實(shí)的，至少對于ISO27001來說是這樣，正如我們在討論GCP和Azure功能時(shí)所解釋的那樣。在多云環(huán)境中，挑戰(zhàn)甚至?xí)觿?，因?yàn)楣ぷ髫?fù)載在Azure、AWS、阿里云和GCP中，組織往往以一致的保證報(bào)告為目標(biāo)，或者如果審計(jì)師和監(jiān)管機(jī)構(gòu)要求深入覆蓋特定控制或詳細(xì)證據(jù)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。