安全保障對(duì)于大型組織至關(guān)重要,因?yàn)楦呒?jí)管理人員對(duì)安全的責(zé)任越來越大,但往往沒有時(shí)間深入研究其挑戰(zhàn),并且嚴(yán)重依賴安全和安全保障團(tuán)隊(duì)。隨著自動(dòng)化和基礎(chǔ)設(shè)施即代碼(IaC)在云端的興起,管理人員現(xiàn)在有了一個(gè)新的夢(mèng)想:用云端提供的自動(dòng)化保障報(bào)告取代手動(dòng)、昂貴且以人為中心的保障,從而使保障更加有效。接下來,我們將通過仔細(xì)研究GoogleCloudPlatform(GCP)和Azure環(huán)境下的ISO27001云報(bào)告(一種常見的保障場(chǎng)景)來探索自動(dòng)化安全保障的機(jī)會(huì)和局限性。
安全保障的作用
安全保障是組織風(fēng)險(xiǎn)管理框架中的第二道防線,通常按照內(nèi)部審計(jì)師協(xié)會(huì)(IIA)的三線模型組織:
第一道防線:負(fù)責(zé)修補(bǔ)服務(wù)器、滲透測(cè)試或網(wǎng)絡(luò)設(shè)計(jì)等日常任務(wù)的運(yùn)營團(tuán)隊(duì)。
第二道防線:安全保障團(tuán)隊(duì)負(fù)責(zé)驗(yàn)證整個(gè)組織內(nèi)安全控制措施的存在和正常運(yùn)行,即第一道防線的工作。他們通常會(huì)根據(jù)NIST、CIS、HIPAA或ISO27001等標(biāo)準(zhǔn)進(jìn)行檢查。
第三道防線:內(nèi)部審計(jì)驗(yàn)證第一道防線和第二道防線的工作。與第一道防線和第二道防線相比,內(nèi)部審計(jì)向董事會(huì)或?qū)徲?jì)委員會(huì)報(bào)告獨(dú)立性。
外部審計(jì)師和監(jiān)管機(jī)構(gòu)使這一局面更加完整。
在所有這些團(tuán)隊(duì)中,二線組織可能從自動(dòng)化云合規(guī)報(bào)告中受益最多,因?yàn)楸WC團(tuán)隊(duì)尋求對(duì)整個(gè)組織、數(shù)據(jù)中心和應(yīng)用的整體概述。相比之下,所有其他團(tuán)隊(duì)的關(guān)注點(diǎn)都比較狹窄。
復(fù)雜應(yīng)用環(huán)境的挑戰(zhàn)
應(yīng)用環(huán)境的復(fù)雜性對(duì)安全保障提出了重大挑戰(zhàn)。擁有ISO27001證書的托管服務(wù)提供商非常優(yōu)秀,但如果不覆蓋應(yīng)用層,則不夠。因此,全面了解數(shù)據(jù)中心至關(guān)重要:
基礎(chǔ)設(shè)施層涵蓋硬件、超大規(guī)模功能、云設(shè)置和網(wǎng)絡(luò)。供應(yīng)商云基礎(chǔ)設(shè)施和客戶數(shù)據(jù)中心的安全架構(gòu)至關(guān)重要,例如,在網(wǎng)絡(luò)分區(qū)方面。其他方面包括彈性,例如應(yīng)急電源和對(duì)環(huán)境影響的保護(hù)。
操作系統(tǒng)層注重充分的配置和及時(shí)的更新,包括安全監(jiān)控和報(bào)告集成。
正確的配置、定期更新和修補(bǔ)對(duì)于數(shù)據(jù)庫、API網(wǎng)關(guān)以及目錄或消息服務(wù)等中間件組件至關(guān)重要。
應(yīng)用層包括基于中間件組件構(gòu)建的軟件,并整合了云PaaS、SaaS和外部服務(wù)。安全設(shè)計(jì)和軟件工程實(shí)踐以及更新和修補(bǔ)第三方組件至關(guān)重要。
安全保障的一個(gè)特別重點(diǎn)是集成。應(yīng)用程序很少獨(dú)立運(yùn)行;它們會(huì)相互作用。交互和集成點(diǎn)是典型的斷點(diǎn)——尤其是當(dāng)不同團(tuán)隊(duì)和組織的職責(zé)結(jié)合在一起時(shí)。
云提供商保證報(bào)告
對(duì)于云工作負(fù)載,安全保障團(tuán)隊(duì)必須評(píng)估并收集每個(gè)組件是否符合安全標(biāo)準(zhǔn)的證據(jù),包括云提供商運(yùn)行的組件和配置。幸運(yùn)的是,云提供商提供可下載的保障和合規(guī)證書。這些證書和報(bào)告對(duì)于云提供商的業(yè)務(wù)至關(guān)重要。尤其是大型客戶,只與遵守與這些客戶相關(guān)的標(biāo)準(zhǔn)的供應(yīng)商合作。確切的標(biāo)準(zhǔn)因客戶所在的管轄區(qū)和行業(yè)而異。
這些云安全保障報(bào)告涵蓋了基礎(chǔ)設(shè)施層以及云提供商的IaaS、PaaS和SaaS服務(wù)的安全性。它們不涵蓋客戶特定的配置、修補(bǔ)或操作,包括保護(hù)AWSS3存儲(chǔ)桶免受未經(jīng)授權(quán)的訪問或修補(bǔ)虛擬機(jī)??蛻羰欠癜踩嘏渲眠@些服務(wù)并將它們充分組合在一起取決于客戶,客戶安全保障團(tuán)隊(duì)必須驗(yàn)證這一點(diǎn)。
針對(duì)客戶云環(huán)境的保證報(bào)告
確保云安全保障和合規(guī)性需要根據(jù)ISO27001:2022等標(biāo)準(zhǔn)進(jìn)行驗(yàn)證,這涉及許多控制措施。保障專家必須收集云提供商保障報(bào)告未涵蓋的組件和配置的證據(jù)。隨著云提供商提供內(nèi)置保障報(bào)告,人們有望通過自動(dòng)證據(jù)收集大幅減少保障工作。然而,我們從Azure和GCP中得到的例子表明,希望和現(xiàn)實(shí)并不完全匹配(目前還不完全匹配)。
Google自下而上地處理這個(gè)問題,將漏洞和錯(cuò)誤配置映射到特定標(biāo)準(zhǔn)(如ISO27001)中可能受影響的控制措施。例如,如果虛擬機(jī)具有公共IP(安全禁忌),GCP會(huì)將其解釋為違反了四項(xiàng)ISO控制措施:A5.10、A5.15、A8.3和A8.4。因此,GCP報(bào)告通過列出存在許多違規(guī)行為的控制措施來幫助識(shí)別薄弱環(huán)節(jié)。但是,這些報(bào)告無法取代人工評(píng)估(至少對(duì)于ISO27001來說不能),因?yàn)樗鼈儫o法涵蓋ISO27001中特別重要的基本操作和程序主題。
Azure
微軟的Azure采用了不同的方法,即實(shí)施自上而下的理念。它列出了所有控制措施(例如ISO27001的控制措施),并為每個(gè)ISO控制措施提供了策略以驗(yàn)證其實(shí)施情況。Azure提供了自動(dòng)合規(guī)性報(bào)告,但只針對(duì)其中的少數(shù)策略。許多策略需要人工評(píng)估。例如,只有五分之一的控制措施“信息分類”是自動(dòng)化的。因此,最好將Azure策略理解為針對(duì)云安全保障的定制待辦事項(xiàng)列表,類似于ISO27002文檔。ISO27002和Azure報(bào)告提供了實(shí)施ISO27001控制措施的詳細(xì)規(guī)則和指南。Azure方法的這種特征意味著Azure不會(huì)自動(dòng)化其客戶的大部分安全保障工作。
總而言之,云提供商保證報(bào)告非常適合識(shí)別客戶應(yīng)用環(huán)境中的錯(cuò)誤配置和漏洞。但是,用自動(dòng)生成的保證報(bào)告取代人工專家是不現(xiàn)實(shí)的,至少對(duì)于ISO27001來說是這樣,正如我們?cè)谟懻揋CP和Azure功能時(shí)所解釋的那樣。在多云環(huán)境中,挑戰(zhàn)甚至?xí)觿?,因?yàn)楣ぷ髫?fù)載在Azure、AWS、阿里云和GCP中,組織往往以一致的保證報(bào)告為目標(biāo),或者如果審計(jì)師和監(jiān)管機(jī)構(gòu)要求深入覆蓋特定控制或詳細(xì)證據(jù)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 400G:骨干網(wǎng)的最新趨勢(shì)
- 三大運(yùn)營商11月成績(jī)單:用戶數(shù)據(jù)增幅放緩
- 2025年數(shù)字錢包:重塑金融生態(tài)的領(lǐng)先應(yīng)用
- 量子計(jì)算:商業(yè)世界的新前沿與設(shè)計(jì)思維的融合
- 什么是聚合交換機(jī)?
- 電池技術(shù)如何影響車輛性能
- 千家早報(bào)|庫克稱蘋果從未考慮過AI收費(fèi);OpenAI GPT-5“難產(chǎn)”:訓(xùn)練6個(gè)月花費(fèi)5億美元,已落后原計(jì)劃半年——2024年12月23日
- 中國電信再次出讓三家金融機(jī)構(gòu)股權(quán) 價(jià)值規(guī)模近10億
- 中國移動(dòng)無源器件產(chǎn)品集采:規(guī)模為1807.93萬件
- 中國移動(dòng)分天線產(chǎn)品集采:規(guī)模為1588.82萬面
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。