آیا اتوماسیون بازی را تغییر می دهد؟

تضمین امنیت برای سازمان‌های بزرگ‌تر بسیار مهم است، زیرا مدیران ارشد به طور فزاینده‌ای در قبال امنیت پاسخگو هستند، اما اغلب وقت کافی برای فرو رفتن عمیق در چالش‌های آن ندارند و به شدت به تیم‌های تضمین امنیت و امنیت تکیه می‌کنند. با افزایش خودکارسازی و زیرساخت به عنوان کد (IaC) در فضای ابری، مدیران اکنون رویای جدیدی در سر دارند: برای موثرتر کردن اطمینان، تضمین دستی، پرهزینه، و انسان محور را با گزارش‌های تضمین خودکار ارائه شده توسط ابر جایگزین کنید. در ادامه، فرصت‌ها و محدودیت‌های تضمین امنیت خودکار را با نگاهی دقیق‌تر به گزارش‌های ابری برای ISO 27001 در زمینه پلتفرم Google Cloud (GCP) و Azure – یک سناریوی تضمینی متداول – بررسی می‌کنیم.

نقش تضمین امنیت

تضمین امنیت به عنوان دومین خط دفاعی در چارچوب مدیریت ریسک یک سازمان عمل می کند که معمولاً بر اساس مدل سه خطی موسسه حسابرسان داخلی (IIA) سازماندهی می شود (شکل 1):

  • خط اول: تیم های عملیاتی مسئول کارهای روزانه مانند وصله سرورها، تست قلم یا طراحی شبکه هستند.

  • خط دوم: تیم های تضمین امنیت که وجود و عملکرد صحیح کنترل های امنیتی در سراسر سازمان یعنی کار خط اول را تایید می کنند. آنها معمولاً استانداردهایی مانند NIST، CIS، HIPAA یا ISO 27001 را بررسی می کنند.

  • خط سوم: ممیزی داخلی اعتبار سنجی کار خط اول و دوم. در مقابل آنها، حسابرسی داخلی برای استقلال به هیئت مدیره یا کمیته حسابرسی گزارش می دهد.

  • حسابرسان خارجی و تنظیم کننده ها تصویر را کامل کنید

از میان همه این تیم‌ها، سازمان‌های خط دوم ممکن است بیشتر از گزارش‌های انطباق ابری خودکار سود ببرند، زیرا تیم‌های اطمینان به دنبال یک مرور کلی در سراسر سازمان، مراکز داده و برنامه‌های کاربردی هستند. در مقابل، تمام تیم های دیگر تمرکز کمتری دارند.

آیا اتوماسیون بازی را تغییر می دهد؟

چالش مناظر کاربردی پیچیده

پیچیدگی در مناظر کاربردی چالش های مهمی را برای تضمین امنیت ایجاد می کند. ارائه دهنده میزبانی با گواهینامه ISO 27001 عالی است اما اگر لایه برنامه پوشش داده نشود کافی نیست. بنابراین، درک جامع از مراکز داده ضروری است:

  • را لایه زیرساخت سخت افزار، قابلیت هایپراسکیلر، راه اندازی ابر و شبکه را پوشش می دهد. معماری ایمن زیرساخت ابری فروشنده و مرکز داده مشتری ضروری است، به عنوان مثال، در مورد منطقه بندی شبکه. جنبه های دیگر عبارتند از انعطاف پذیری، مانند منابع تغذیه اضطراری و محافظت در برابر اثرات زیست محیطی.

  • را لایه سیستم عامل بر پیکربندی کافی و به روز رسانی های به موقع، از جمله نظارت بر امنیت و یکپارچه سازی گزارش تمرکز می کند.

  • پیکربندی های صحیح، به روز رسانی های منظم و وصله برای این موارد ضروری است اجزای میان افزار مانند پایگاه داده ها، دروازه های API، و دایرکتوری یا خدمات پیام رسانی.

  • را لایه کاربردی نرم‌افزاری را در بر می‌گیرد که بر روی اجزای میان‌افزار ساخته شده و شامل ابر PaaS، SaaS و سرویس‌های خارجی است. طراحی ایمن و شیوه های مهندسی نرم افزار، و همچنین به روز رسانی و وصله کردن اجزای شخص ثالث، ضروری است.

تمرکز ویژه برای تضمین امنیت یکپارچه سازی است. برنامه ها به ندرت به صورت مجزا عمل می کنند. آنها با هم تعامل دارند. نقاط تعامل و ادغام نقاط شکست معمولی هستند – به ویژه زمانی که مسئولیت های تیم ها و سازمان های مختلف با هم جمع می شوند.

شکل 2: منظره های کاربردی با اجزا و لایه های زیرین در مراکز داده و ابرهای دنیای واقعی

گزارش های تضمین ارائه دهنده ابر

برای بارهای کاری ابری، تیم‌های تضمین امنیت باید شواهدی را برای پایبندی هر مؤلفه به استانداردهای امنیتی، از جمله برای مؤلفه‌ها و پیکربندی‌هایی که ارائه‌دهنده ابر اجرا می‌کند، ارزیابی و جمع‌آوری کنند. خوشبختانه، ارائه‌دهندگان ابر گواهی‌های اطمینان و انطباق قابل دانلود را ارائه می‌دهند. این گواهی ها و گزارش ها برای کسب و کار ارائه دهندگان ابر ضروری هستند. مشتریان بزرگتر، به خصوص، فقط با فروشندگانی کار می کنند که استانداردهای مربوط به این مشتریان را رعایت می کنند. استانداردهای دقیق بسته به حوزه قضایی و صنعت مشتریان متفاوت است. شکل 3 طیف گسترده ای از استانداردهای جهانی، خاص کشور و صنعت خاص را نشان می دهد که Azure (به عنوان مثال) برای دانلود به مشتریان و مشتریان احتمالی خود ارائه می دهد.

شکل 3: وب سایت Azure با گزارش های اطمینان

این گزارش‌های تضمین امنیت ابر لایه زیرساخت و امنیت سرویس‌های IaaS، PaaS و SaaS ارائه‌دهنده ابر را پوشش می‌دهد. آنها پیکربندی، وصله یا عملیات خاص مشتری، از جمله ایمن کردن سطل های AWS S3 در برابر دسترسی های غیرمجاز یا وصله ماشین های مجازی را پوشش نمی دهند (شکل 4). اینکه آیا مشتریان این خدمات را به طور ایمن پیکربندی کرده و آنها را به اندازه کافی کنار هم قرار می دهند در دست مشتریان است – و تیم تضمین امنیت مشتری باید آن را تأیید کند.

شکل 4: پوشش جزء و موضوع گزارش های اطمینان

گزارش های اطمینان برای محیط های ابری مشتری

اطمینان از تضمین امنیت ابری و انطباق، مستلزم تأیید در برابر استانداردهایی مانند ISO 27001:2022 است که شامل کنترل‌های متعددی است. متخصصان تضمین باید شواهدی را برای اجزا و پیکربندی‌هایی که توسط گزارش‌های تضمین ارائه‌دهنده ابر پوشش داده نمی‌شوند، جمع‌آوری کنند. با ارائه‌دهنده‌های ابری که گزارش‌های تضمین داخلی را ارائه می‌کنند، به دلیل جمع‌آوری خودکار شواهد، امیدی به کاهش گسترده در کار تضمینی وجود دارد. با این حال، نمونه‌های ما از Azure و GCP نشان می‌دهند که امیدها و واقعیت‌ها کاملاً مطابقت ندارند (هنوز).

GCP

Google با ترسیم آسیب‌پذیری‌ها و پیکربندی‌های نادرست به کنترل‌های بالقوه تحت تأثیر یک استاندارد خاص مانند ISO 27001، به موضوع از پایین به بالا نزدیک می‌شود (شکل 6). به عنوان مثال، اگر یک VM یک IP عمومی داشته باشد (ممنوع امنیتی)، GCP این را به عنوان نقض چهار کنترل ISO تعبیر می کند: A5.10، A5.15، A8.3، و A8.4. بنابراین، گزارش‌های GCP با فهرست کردن کنترل‌های دارای تخلفات زیاد، به شناسایی نقاط ضعف کمک می‌کنند. با این حال، این گزارش‌ها نمی‌توانند جایگزین ارزیابی‌های انسانی شوند – حداقل نه برای ISO 27001 – زیرا نمی‌توانند موضوعات عملیاتی و رویه‌ای ضروری را که به ویژه در ISO 27001 مهم هستند پوشش دهند.

شکل 6: GCP ISO گزارش ها و نیازهای اطمینان

لاجوردی

Azure مایکروسافت با اجرای یک فلسفه از بالا به پایین رویکرد متفاوتی را دنبال می کند. تمام کنترل ها را فهرست می کند، به عنوان مثال، موارد مربوط به ISO 27001، و سیاست هایی را برای هر یک از این کنترل های ISO برای تأیید اجرای آنها ارائه می دهد. Azure گزارش انطباق خودکار را ارائه می دهد، اما فقط برای تعداد کمی از این خط مشی ها. بسیاری نیاز به ارزیابی دستی دارند. به عنوان مثال، تنها یکی از پنج کنترل “طبقه بندی اطلاعات” خودکار است. بنابراین، بهتر است خط‌مشی‌های Azure را به‌عنوان فهرست‌های انجام‌شده برای تضمین امنیت ابر، مشابه سند ISO 27002 درک کنید. ISO 27002 و گزارش Azure قوانین و دستورالعمل های دقیقی را برای اجرای کنترل های ISO 27001 ارائه می کنند. این ویژگی رویکرد Azure نشان می‌دهد که Azure بسیاری از کارهای تضمین امنیت مشتریان خود را خودکار نمی‌کند.

برای جمع‌بندی، گزارش‌های تضمین ارائه‌دهنده ابر برای شناسایی پیکربندی‌های نادرست و آسیب‌پذیری‌ها در چشم‌انداز برنامه‌های کاربردی مشتری فوق‌العاده هستند. با این حال، جایگزینی متخصصان انسانی با گزارش‌های تضمین تولید خودکار، حداقل برای ISO 27001 غیرواقعی است، همانطور که در بحث ما درباره قابلیت‌های GCP و Azure توضیح داده شد. چالش‌ها حتی در محیط‌های چند ابری با بار کاری در Azure، AWS، Alibaba Cloud و GCP که سازمان‌ها تمایل دارند گزارش‌های اطمینان منسجم را هدف قرار دهند – یا اگر حسابرسان و تنظیم‌کننده‌ها خواستار پوشش عمیق کنترل‌های خاص یا شواهد دقیق باشند، تقویت می‌شوند. بنابراین، تضمین امنیت ابری از اصل کتابچه Panini پیروی می‌کند: شما به انسانی نیاز دارید که برای جمع‌آوری برچسب‌ها (شواهد) برای همه مؤلفه‌ها اختصاص داشته باشد – و تا زمانی که به هدف خود برسید، پول زیادی خرج می‌کنید.


Source link