安全保障對于大型組織至關(guān)重要,因?yàn)楦呒壒芾砣藛T對安全的責(zé)任越來越大,但往往沒有時間深入研究其挑戰(zhàn),并且嚴(yán)重依賴安全和安全保障團(tuán)隊。隨著自動化和基礎(chǔ)設(shè)施即代碼(IaC)在云端的興起,管理人員現(xiàn)在有了一個新的夢想:用云端提供的自動化保障報告取代手動、昂貴且以人為中心的保障,從而使保障更加有效。接下來,我們將通過仔細(xì)研究GoogleCloudPlatform(GCP)和Azure環(huán)境下的ISO27001云報告(一種常見的保障場景)來探索自動化安全保障的機(jī)會和局限性。
安全保障的作用
安全保障是組織風(fēng)險管理框架中的第二道防線,通常按照內(nèi)部審計師協(xié)會(IIA)的三線模型組織:
第一道防線:負(fù)責(zé)修補(bǔ)服務(wù)器、滲透測試或網(wǎng)絡(luò)設(shè)計等日常任務(wù)的運(yùn)營團(tuán)隊。
第二道防線:安全保障團(tuán)隊負(fù)責(zé)驗(yàn)證整個組織內(nèi)安全控制措施的存在和正常運(yùn)行,即第一道防線的工作。他們通常會根據(jù)NIST、CIS、HIPAA或ISO27001等標(biāo)準(zhǔn)進(jìn)行檢查。
第三道防線:內(nèi)部審計驗(yàn)證第一道防線和第二道防線的工作。與第一道防線和第二道防線相比,內(nèi)部審計向董事會或?qū)徲嬑瘑T會報告獨(dú)立性。
外部審計師和監(jiān)管機(jī)構(gòu)使這一局面更加完整。
在所有這些團(tuán)隊中,二線組織可能從自動化云合規(guī)報告中受益最多,因?yàn)楸WC團(tuán)隊尋求對整個組織、數(shù)據(jù)中心和應(yīng)用的整體概述。相比之下,所有其他團(tuán)隊的關(guān)注點(diǎn)都比較狹窄。
復(fù)雜應(yīng)用環(huán)境的挑戰(zhàn)
應(yīng)用環(huán)境的復(fù)雜性對安全保障提出了重大挑戰(zhàn)。擁有ISO27001證書的托管服務(wù)提供商非常優(yōu)秀,但如果不覆蓋應(yīng)用層,則不夠。因此,全面了解數(shù)據(jù)中心至關(guān)重要:
基礎(chǔ)設(shè)施層涵蓋硬件、超大規(guī)模功能、云設(shè)置和網(wǎng)絡(luò)。供應(yīng)商云基礎(chǔ)設(shè)施和客戶數(shù)據(jù)中心的安全架構(gòu)至關(guān)重要,例如,在網(wǎng)絡(luò)分區(qū)方面。其他方面包括彈性,例如應(yīng)急電源和對環(huán)境影響的保護(hù)。
操作系統(tǒng)層注重充分的配置和及時的更新,包括安全監(jiān)控和報告集成。
正確的配置、定期更新和修補(bǔ)對于數(shù)據(jù)庫、API網(wǎng)關(guān)以及目錄或消息服務(wù)等中間件組件至關(guān)重要。
應(yīng)用層包括基于中間件組件構(gòu)建的軟件,并整合了云PaaS、SaaS和外部服務(wù)。安全設(shè)計和軟件工程實(shí)踐以及更新和修補(bǔ)第三方組件至關(guān)重要。
安全保障的一個特別重點(diǎn)是集成。應(yīng)用程序很少獨(dú)立運(yùn)行;它們會相互作用。交互和集成點(diǎn)是典型的斷點(diǎn)——尤其是當(dāng)不同團(tuán)隊和組織的職責(zé)結(jié)合在一起時。
云提供商保證報告
對于云工作負(fù)載,安全保障團(tuán)隊必須評估并收集每個組件是否符合安全標(biāo)準(zhǔn)的證據(jù),包括云提供商運(yùn)行的組件和配置。幸運(yùn)的是,云提供商提供可下載的保障和合規(guī)證書。這些證書和報告對于云提供商的業(yè)務(wù)至關(guān)重要。尤其是大型客戶,只與遵守與這些客戶相關(guān)的標(biāo)準(zhǔn)的供應(yīng)商合作。確切的標(biāo)準(zhǔn)因客戶所在的管轄區(qū)和行業(yè)而異。
這些云安全保障報告涵蓋了基礎(chǔ)設(shè)施層以及云提供商的IaaS、PaaS和SaaS服務(wù)的安全性。它們不涵蓋客戶特定的配置、修補(bǔ)或操作,包括保護(hù)AWSS3存儲桶免受未經(jīng)授權(quán)的訪問或修補(bǔ)虛擬機(jī)??蛻羰欠癜踩嘏渲眠@些服務(wù)并將它們充分組合在一起取決于客戶,客戶安全保障團(tuán)隊必須驗(yàn)證這一點(diǎn)。
針對客戶云環(huán)境的保證報告
確保云安全保障和合規(guī)性需要根據(jù)ISO27001:2022等標(biāo)準(zhǔn)進(jìn)行驗(yàn)證,這涉及許多控制措施。保障專家必須收集云提供商保障報告未涵蓋的組件和配置的證據(jù)。隨著云提供商提供內(nèi)置保障報告,人們有望通過自動證據(jù)收集大幅減少保障工作。然而,我們從Azure和GCP中得到的例子表明,希望和現(xiàn)實(shí)并不完全匹配(目前還不完全匹配)。
Google自下而上地處理這個問題,將漏洞和錯誤配置映射到特定標(biāo)準(zhǔn)(如ISO27001)中可能受影響的控制措施。例如,如果虛擬機(jī)具有公共IP(安全禁忌),GCP會將其解釋為違反了四項ISO控制措施:A5.10、A5.15、A8.3和A8.4。因此,GCP報告通過列出存在許多違規(guī)行為的控制措施來幫助識別薄弱環(huán)節(jié)。但是,這些報告無法取代人工評估(至少對于ISO27001來說不能),因?yàn)樗鼈儫o法涵蓋ISO27001中特別重要的基本操作和程序主題。
Azure
微軟的Azure采用了不同的方法,即實(shí)施自上而下的理念。它列出了所有控制措施(例如ISO27001的控制措施),并為每個ISO控制措施提供了策略以驗(yàn)證其實(shí)施情況。Azure提供了自動合規(guī)性報告,但只針對其中的少數(shù)策略。許多策略需要人工評估。例如,只有五分之一的控制措施“信息分類”是自動化的。因此,最好將Azure策略理解為針對云安全保障的定制待辦事項列表,類似于ISO27002文檔。ISO27002和Azure報告提供了實(shí)施ISO27001控制措施的詳細(xì)規(guī)則和指南。Azure方法的這種特征意味著Azure不會自動化其客戶的大部分安全保障工作。
總而言之,云提供商保證報告非常適合識別客戶應(yīng)用環(huán)境中的錯誤配置和漏洞。但是,用自動生成的保證報告取代人工專家是不現(xiàn)實(shí)的,至少對于ISO27001來說是這樣,正如我們在討論GCP和Azure功能時所解釋的那樣。在多云環(huán)境中,挑戰(zhàn)甚至?xí)觿?,因?yàn)楣ぷ髫?fù)載在Azure、AWS、阿里云和GCP中,組織往往以一致的保證報告為目標(biāo),或者如果審計師和監(jiān)管機(jī)構(gòu)要求深入覆蓋特定控制或詳細(xì)證據(jù)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 國家發(fā)改委成立低空經(jīng)濟(jì)發(fā)展司
- 什么是人工智能網(wǎng)絡(luò)? | 智能百科
- 工信部:2025年推進(jìn)工業(yè)5G獨(dú)立專網(wǎng)建設(shè)
- 人工智能如何改變?nèi)蛑悄苁謾C(jī)市場
- 企業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)頻出?Fortinet 給出破解之法
- 2025年生成式人工智能將如何影響眾行業(yè)
- 報告:人工智能推動數(shù)據(jù)中心系統(tǒng)支出激增25%
- 千家早報|馬斯克預(yù)測:人工智能或?qū)⒊絾蝹€人類;鴻蒙生態(tài)(武漢)創(chuàng)新中心啟用,推動鴻蒙軟硬件在武漢首試首用——2024年12月27日
- 中移建設(shè)被拉入軍采“黑名單”
- 大理移動因違規(guī)套現(xiàn)等問題,擬被列入軍采失信名單
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。