云安全保障：自動化正在改變游戲規(guī)則嗎？

安全保障對于大型組織至關(guān)重要，因為高級管理人員對安全的責(zé)任越來越大，但往往沒有時間深入研究其挑戰(zhàn)，并且嚴重依賴安全和安全保障團隊。隨著自動化和基礎(chǔ)設(shè)施即代碼(IaC)在云端的興起，管理人員現(xiàn)在有了一個新的夢想：用云端提供的自動化保障報告取代手動、昂貴且以人為中心的保障，從而使保障更加有效。接下來，我們將通過仔細研究GoogleCloudPlatform(GCP)和Azure環(huán)境下的ISO27001云報告（一種常見的保障場景）來探索自動化安全保障的機會和局限性。

安全保障的作用

安全保障是組織風(fēng)險管理框架中的第二道防線，通常按照內(nèi)部審計師協(xié)會(IIA)的三線模型組織：

第一道防線：負責(zé)修補服務(wù)器、滲透測試或網(wǎng)絡(luò)設(shè)計等日常任務(wù)的運營團隊。

第二道防線：安全保障團隊負責(zé)驗證整個組織內(nèi)安全控制措施的存在和正常運行，即第一道防線的工作。他們通常會根據(jù)NIST、CIS、HIPAA或ISO27001等標準進行檢查。

第三道防線：內(nèi)部審計驗證第一道防線和第二道防線的工作。與第一道防線和第二道防線相比，內(nèi)部審計向董事會或?qū)徲嬑瘑T會報告獨立性。

外部審計師和監(jiān)管機構(gòu)使這一局面更加完整。

在所有這些團隊中，二線組織可能從自動化云合規(guī)報告中受益最多，因為保證團隊尋求對整個組織、數(shù)據(jù)中心和應(yīng)用的整體概述。相比之下，所有其他團隊的關(guān)注點都比較狹窄。

復(fù)雜應(yīng)用環(huán)境的挑戰(zhàn)

應(yīng)用環(huán)境的復(fù)雜性對安全保障提出了重大挑戰(zhàn)。擁有ISO27001證書的托管服務(wù)提供商非常優(yōu)秀，但如果不覆蓋應(yīng)用層，則不夠。因此，全面了解數(shù)據(jù)中心至關(guān)重要：

基礎(chǔ)設(shè)施層涵蓋硬件、超大規(guī)模功能、云設(shè)置和網(wǎng)絡(luò)。供應(yīng)商云基礎(chǔ)設(shè)施和客戶數(shù)據(jù)中心的安全架構(gòu)至關(guān)重要，例如，在網(wǎng)絡(luò)分區(qū)方面。其他方面包括彈性，例如應(yīng)急電源和對環(huán)境影響的保護。

操作系統(tǒng)層注重充分的配置和及時的更新，包括安全監(jiān)控和報告集成。

正確的配置、定期更新和修補對于數(shù)據(jù)庫、API網(wǎng)關(guān)以及目錄或消息服務(wù)等中間件組件至關(guān)重要。

應(yīng)用層包括基于中間件組件構(gòu)建的軟件，并整合了云PaaS、SaaS和外部服務(wù)。安全設(shè)計和軟件工程實踐以及更新和修補第三方組件至關(guān)重要。

安全保障的一個特別重點是集成。應(yīng)用程序很少獨立運行；它們會相互作用。交互和集成點是典型的斷點——尤其是當(dāng)不同團隊和組織的職責(zé)結(jié)合在一起時。

云提供商保證報告

對于云工作負載，安全保障團隊必須評估并收集每個組件是否符合安全標準的證據(jù)，包括云提供商運行的組件和配置。幸運的是，云提供商提供可下載的保障和合規(guī)證書。這些證書和報告對于云提供商的業(yè)務(wù)至關(guān)重要。尤其是大型客戶，只與遵守與這些客戶相關(guān)的標準的供應(yīng)商合作。確切的標準因客戶所在的管轄區(qū)和行業(yè)而異。

這些云安全保障報告涵蓋了基礎(chǔ)設(shè)施層以及云提供商的IaaS、PaaS和SaaS服務(wù)的安全性。它們不涵蓋客戶特定的配置、修補或操作，包括保護AWSS3存儲桶免受未經(jīng)授權(quán)的訪問或修補虛擬機?？蛻羰欠癜踩嘏渲眠@些服務(wù)并將它們充分組合在一起取決于客戶，客戶安全保障團隊必須驗證這一點。

針對客戶云環(huán)境的保證報告

確保云安全保障和合規(guī)性需要根據(jù)ISO27001:2022等標準進行驗證，這涉及許多控制措施。保障專家必須收集云提供商保障報告未涵蓋的組件和配置的證據(jù)。隨著云提供商提供內(nèi)置保障報告，人們有望通過自動證據(jù)收集大幅減少保障工作。然而，我們從Azure和GCP中得到的例子表明，希望和現(xiàn)實并不完全匹配（目前還不完全匹配）。

Google

Google自下而上地處理這個問題，將漏洞和錯誤配置映射到特定標準（如ISO27001）中可能受影響的控制措施。例如，如果虛擬機具有公共IP（安全禁忌），GCP會將其解釋為違反了四項ISO控制措施：A5.10、A5.15、A8.3和A8.4。因此，GCP報告通過列出存在許多違規(guī)行為的控制措施來幫助識別薄弱環(huán)節(jié)。但是，這些報告無法取代人工評估（至少對于ISO27001來說不能），因為它們無法涵蓋ISO27001中特別重要的基本操作和程序主題。

Azure

微軟的Azure采用了不同的方法，即實施自上而下的理念。它列出了所有控制措施（例如ISO27001的控制措施），并為每個ISO控制措施提供了策略以驗證其實施情況。Azure提供了自動合規(guī)性報告，但只針對其中的少數(shù)策略。許多策略需要人工評估。例如，只有五分之一的控制措施“信息分類”是自動化的。因此，最好將Azure策略理解為針對云安全保障的定制待辦事項列表，類似于ISO27002文檔。ISO27002和Azure報告提供了實施ISO27001控制措施的詳細規(guī)則和指南。Azure方法的這種特征意味著Azure不會自動化其客戶的大部分安全保障工作。

總而言之，云提供商保證報告非常適合識別客戶應(yīng)用環(huán)境中的錯誤配置和漏洞。但是，用自動生成的保證報告取代人工專家是不現(xiàn)實的，至少對于ISO27001來說是這樣，正如我們在討論GCP和Azure功能時所解釋的那樣。在多云環(huán)境中，挑戰(zhàn)甚至?xí)觿?，因為工作負載在Azure、AWS、阿里云和GCP中，組織往往以一致的保證報告為目標，或者如果審計師和監(jiān)管機構(gòu)要求深入覆蓋特定控制或詳細證據(jù)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。