如有问题
欢迎沟通

前端,网站等内容分享

咨询QQ:717788272

云安全保障:自动化正在改变游戏规则吗?

ID:631 / 打印

安全保障对于大型组织至关重要,因为高级管理人员对安全的责任越来越大,但往往没有时间深入研究其挑战,并且严重依赖安全和安全保障团队。随着自动化和基础设施即代码(IaC)在云端的兴起,管理人员现在有了一个新的梦想:用云端提供的自动化保障报告取代手动、昂贵且以人为中心的保障,从而使保障更加有效。接下来,我们将通过仔细研究GoogleCloudPlatform(GCP)和Azure环境下的ISO27001云报告(一种常见的保障场景)来探索自动化安全保障的机会和局限性。

云安全保障:自动化正在改变游戏规则吗?
安全保障的作用
安全保障是组织风险管理框架中的第二道防线,通常按照内部审计师协会(IIA)的三线模型组织:

第一道防线:负责修补服务器、渗透测试或网络设计等日常任务的运营团队。

第二道防线:安全保障团队负责验证整个组织内安全控制措施的存在和正常运行,即第一道防线的工作。他们通常会根据NIST、CIS、HIPAA或ISO27001等标准进行检查。

第三道防线:内部审计验证第一道防线和第二道防线的工作。与第一道防线和第二道防线相比,内部审计向董事会或审计委员会报告独立性。

外部审计师和监管机构使这一局面更加完整。

在所有这些团队中,二线组织可能从自动化云合规报告中受益最多,因为保证团队寻求对整个组织、数据中心和应用的整体概述。相比之下,所有其他团队的关注点都比较狭窄。

复杂应用环境的挑战
应用环境的复杂性对安全保障提出了重大挑战。拥有ISO27001证书的托管服务提供商非常优秀,但如果不覆盖应用层,则不够。因此,全面了解数据中心至关重要:

基础设施层涵盖硬件、超大规模功能、云设置和网络。供应商云基础设施和客户数据中心的安全架构至关重要,例如,在网络分区方面。其他方面包括弹性,例如应急电源和对环境影响的保护。

操作系统层注重充分的配置和及时的更新,包括安全监控和报告集成。

正确的配置、定期更新和修补对于数据库、API网关以及目录或消息服务等中间件组件至关重要。

应用层包括基于中间件组件构建的软件,并整合了云PaaS、SaaS和外部服务。安全设计和软件工程实践以及更新和修补第三方组件至关重要。

安全保障的一个特别重点是集成。应用程序很少独立运行;它们会相互作用。交互和集成点是典型的断点——尤其是当不同团队和组织的职责结合在一起时。

云提供商保证报告
对于云工作负载,安全保障团队必须评估并收集每个组件是否符合安全标准的证据,包括云提供商运行的组件和配置。幸运的是,云提供商提供可下载的保障和合规证书。这些证书和报告对于云提供商的业务至关重要。尤其是大型客户,只与遵守与这些客户相关的标准的供应商合作。确切的标准因客户所在的管辖区和行业而异。

这些云安全保障报告涵盖了基础设施层以及云提供商的IaaS、PaaS和SaaS服务的安全性。它们不涵盖客户特定的配置、修补或操作,包括保护AWSS3存储桶免受未经授权的访问或修补虚拟机。客户是否安全地配置这些服务并将它们充分组合在一起取决于客户,客户安全保障团队必须验证这一点。

针对客户云环境的保证报告
确保云安全保障和合规性需要根据ISO27001:2022等标准进行验证,这涉及许多控制措施。保障专家必须收集云提供商保障报告未涵盖的组件和配置的证据。随着云提供商提供内置保障报告,人们有望通过自动证据收集大幅减少保障工作。然而,我们从Azure和GCP中得到的例子表明,希望和现实并不完全匹配(目前还不完全匹配)。

Google

Google自下而上地处理这个问题,将漏洞和错误配置映射到特定标准(如ISO27001)中可能受影响的控制措施。例如,如果虚拟机具有公共IP(安全禁忌),GCP会将其解释为违反了四项ISO控制措施:A5.10、A5.15、A8.3和A8.4。因此,GCP报告通过列出存在许多违规行为的控制措施来帮助识别薄弱环节。但是,这些报告无法取代人工评估(至少对于ISO27001来说不能),因为它们无法涵盖ISO27001中特别重要的基本操作和程序主题。

Azure
微软的Azure采用了不同的方法,即实施自上而下的理念。它列出了所有控制措施(例如ISO27001的控制措施),并为每个ISO控制措施提供了策略以验证其实施情况。Azure提供了自动合规性报告,但只针对其中的少数策略。许多策略需要人工评估。例如,只有五分之一的控制措施“信息分类”是自动化的。因此,最好将Azure策略理解为针对云安全保障的定制待办事项列表,类似于ISO27002文档。ISO27002和Azure报告提供了实施ISO27001控制措施的详细规则和指南。Azure方法的这种特征意味着Azure不会自动化其客户的大部分安全保障工作。

总而言之,云提供商保证报告非常适合识别客户应用环境中的错误配置和漏洞。但是,用自动生成的保证报告取代人工专家是不现实的,至少对于ISO27001来说是这样,正如我们在讨论GCP和Azure功能时所解释的那样。在多云环境中,挑战甚至会加剧,因为工作负载在Azure、AWS、阿里云和GCP中,组织往往以一致的保证报告为目标,或者如果审计师和监管机构要求深入覆盖特定控制或详细证据。

上一篇: 云计算如何推动互联网行业的增长
下一篇: 如何领先一步防范数据泄露并掌握云威胁检测

作者:遇梦 @ 遇梦前端   2024-09-14

与本文相关文章