云安全保障:自动化正在改变游戏规则吗?

安全保障对于大型组织至关重要,因为高级管理人员对安全的责任越来越大,但往往没有时间深入研究其挑战,并且严重依赖安全和安全保障团队。随着自动化和基础设施即代码(IaC)在云端的兴起,管理人员现在有了一个新的梦想:用云端提供的自动化保障报告取代手动、昂贵且以人为中心的保障,从而使保障更加有效。接下来,我们将通过仔细研究GoogleCloudPlatform(GCP)和Azure环境下的ISO27001云报告(一种常见的保障场景)来探索自动化安全保障的机会和局限性。

安全保障的作用

安全保障是组织风险管理框架中的第二道防线,通常按照内部审计师协会(IIA)的三线模型组织:

第一道防线:负责修补服务器、渗透测试或网络设计等日常任务的运营团队。

第二道防线:安全保障团队负责验证整个组织内安全控制措施的存在和正常运行,即第一道防线的工作。他们通常会根据NIST、CIS、HIPAA或ISO27001等标准进行检查。

第三道防线:内部审计验证第一道防线和第二道防线的工作。与第一道防线和第二道防线相比,内部审计向董事会或审计委员会报告独立性。

外部审计师和监管机构使这一局面更加完整。

在所有这些团队中,二线组织可能从自动化云合规报告中受益最多,因为保证团队寻求对整个组织、数据中心和应用的整体概述。相比之下,所有其他团队的关注点都比较狭窄。

复杂应用环境的挑战

应用环境的复杂性对安全保障提出了重大挑战。拥有ISO27001证书的托管服务提供商非常优秀,但如果不覆盖应用层,则不够。因此,全面了解数据中心至关重要:

基础设施层涵盖硬件、超大规模功能、云设置和网络。供应商云基础设施和客户数据中心的安全架构至关重要,例如,在网络分区方面。其他方面包括弹性,例如应急电源和对环境影响的保护。

操作系统层注重充分的配置和及时的更新,包括安全监控和报告集成。

正确的配置、定期更新和修补对于数据库、API网关以及目录或消息服务等中间件组件至关重要。

应用层包括基于中间件组件构建的软件,并整合了云PaaS、SaaS和外部服务。安全设计和软件工程实践以及更新和修补第三方组件至关重要。

安全保障的一个特别重点是集成。应用程序很少独立运行;它们会相互作用。交互和集成点是典型的断点——尤其是当不同团队和组织的职责结合在一起时。

云提供商保证报告

对于云工作负载,安全保障团队必须评估并收集每个组件是否符合安全标准的证据,包括云提供商运行的组件和配置。幸运的是,云提供商提供可下载的保障和合规证书。这些证书和报告对于云提供商的业务至关重要。尤其是大型客户,只与遵守与这些客户相关的标准的供应商合作。确切的标准因客户所在的管辖区和行业而异。

这些云安全保障报告涵盖了基础设施层以及云提供商的IaaS、PaaS和SaaS服务的安全性。它们不涵盖客户特定的配置、修补或操作,包括保护AWSS3存储桶免受未经授权的访问或修补虚拟机。客户是否安全地配置这些服务并将它们充分组合在一起取决于客户,客户安全保障团队必须验证这一点。

针对客户云环境的保证报告

确保云安全保障和合规性需要根据ISO27001:2022等标准进行验证,这涉及许多控制措施。保障专家必须收集云提供商保障报告未涵盖的组件和配置的证据。随着云提供商提供内置保障报告,人们有望通过自动证据收集大幅减少保障工作。然而,我们从Azure和GCP中得到的例子表明,希望和现实并不完全匹配(目前还不完全匹配)。

Google

Google自下而上地处理这个问题,将漏洞和错误配置映射到特定标准(如ISO27001)中可能受影响的控制措施。例如,如果虚拟机具有公共IP(安全禁忌),GCP会将其解释为违反了四项ISO控制措施:A5.10、A5.15、A8.3和A8.4。因此,GCP报告通过列出存在许多违规行为的控制措施来帮助识别薄弱环节。但是,这些报告无法取代人工评估(至少对于ISO27001来说不能),因为它们无法涵盖ISO27001中特别重要的基本操作和程序主题。

Azure

微软的Azure采用了不同的方法,即实施自上而下的理念。它列出了所有控制措施(例如ISO27001的控制措施),并为每个ISO控制措施提供了策略以验证其实施情况。Azure提供了自动合规性报告,但只针对其中的少数策略。许多策略需要人工评估。例如,只有五分之一的控制措施“信息分类”是自动化的。因此,最好将Azure策略理解为针对云安全保障的定制待办事项列表,类似于ISO27002文档。ISO27002和Azure报告提供了实施ISO27001控制措施的详细规则和指南。Azure方法的这种特征意味着Azure不会自动化其客户的大部分安全保障工作。

总而言之,云提供商保证报告非常适合识别客户应用环境中的错误配置和漏洞。但是,用自动生成的保证报告取代人工专家是不现实的,至少对于ISO27001来说是这样,正如我们在讨论GCP和Azure功能时所解释的那样。在多云环境中,挑战甚至会加剧,因为工作负载在Azure、AWS、阿里云和GCP中,组织往往以一致的保证报告为目标,或者如果审计师和监管机构要求深入覆盖特定控制或详细证据。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2024-09-09
云安全保障:自动化正在改变游戏规则吗?
云提供商保证报告非常适合识别客户应用环境中的错误配置和漏洞。但是,用自动生成的保证报告取代人工专家是不现实的,至少对于ISO27001来说是这样,正如我们在讨论GCP和Azure功能时所解释的那样。在多云环境中,挑战甚至会加剧,因为工作负载在Azure、AWS、阿里云和GCP中,组织往往以一致的保证报告为目标,或者如果审计师和监管机构要求深入覆盖特定控制或详细证据。

长按扫码 阅读全文