تضمین امنیت برای سازمانهای بزرگتر بسیار مهم است، زیرا مدیران ارشد به طور فزایندهای در قبال امنیت پاسخگو هستند، اما اغلب وقت کافی برای فرو رفتن عمیق در چالشهای آن ندارند و به شدت به تیمهای تضمین امنیت و امنیت تکیه میکنند. با افزایش خودکارسازی و زیرساخت به عنوان کد (IaC) در فضای ابری، مدیران اکنون رویای جدیدی در سر دارند: برای موثرتر کردن اطمینان، تضمین دستی، پرهزینه، و انسان محور را با گزارشهای تضمین خودکار ارائه شده توسط ابر جایگزین کنید. در ادامه، فرصتها و محدودیتهای تضمین امنیت خودکار را با نگاهی دقیقتر به گزارشهای ابری برای ISO 27001 در زمینه پلتفرم Google Cloud (GCP) و Azure – یک سناریوی تضمینی متداول – بررسی میکنیم.
نقش تضمین امنیت
تضمین امنیت به عنوان دومین خط دفاعی در چارچوب مدیریت ریسک یک سازمان عمل می کند که معمولاً بر اساس مدل سه خطی موسسه حسابرسان داخلی (IIA) سازماندهی می شود (شکل 1):
-
خط اول: تیم های عملیاتی مسئول کارهای روزانه مانند وصله سرورها، تست قلم یا طراحی شبکه هستند.
-
خط دوم: تیم های تضمین امنیت که وجود و عملکرد صحیح کنترل های امنیتی در سراسر سازمان یعنی کار خط اول را تایید می کنند. آنها معمولاً استانداردهایی مانند NIST، CIS، HIPAA یا ISO 27001 را بررسی می کنند.
-
خط سوم: ممیزی داخلی اعتبار سنجی کار خط اول و دوم. در مقابل آنها، حسابرسی داخلی برای استقلال به هیئت مدیره یا کمیته حسابرسی گزارش می دهد.
-
حسابرسان خارجی و تنظیم کننده ها تصویر را کامل کنید
از میان همه این تیمها، سازمانهای خط دوم ممکن است بیشتر از گزارشهای انطباق ابری خودکار سود ببرند، زیرا تیمهای اطمینان به دنبال یک مرور کلی در سراسر سازمان، مراکز داده و برنامههای کاربردی هستند. در مقابل، تمام تیم های دیگر تمرکز کمتری دارند.
شکل 1: مدل سه خط و نقش تضمین امنیت
چالش مناظر کاربردی پیچیده
پیچیدگی در مناظر کاربردی چالش های مهمی را برای تضمین امنیت ایجاد می کند. ارائه دهنده میزبانی با گواهینامه ISO 27001 عالی است اما اگر لایه برنامه پوشش داده نشود کافی نیست. بنابراین، درک جامع از مراکز داده ضروری است:
-
را لایه زیرساخت سخت افزار، قابلیت هایپراسکیلر، راه اندازی ابر و شبکه را پوشش می دهد. معماری ایمن زیرساخت ابری فروشنده و مرکز داده مشتری ضروری است، به عنوان مثال، در مورد منطقه بندی شبکه. جنبه های دیگر عبارتند از انعطاف پذیری، مانند منابع تغذیه اضطراری و محافظت در برابر اثرات زیست محیطی.
-
را لایه سیستم عامل بر پیکربندی کافی و به روز رسانی های به موقع، از جمله نظارت بر امنیت و یکپارچه سازی گزارش تمرکز می کند.
-
پیکربندی های صحیح، به روز رسانی های منظم و وصله برای این موارد ضروری است اجزای میان افزار مانند پایگاه داده ها، دروازه های API، و دایرکتوری یا خدمات پیام رسانی.
-
را لایه کاربردی نرمافزاری را در بر میگیرد که بر روی اجزای میانافزار ساخته شده و شامل ابر PaaS، SaaS و سرویسهای خارجی است. طراحی ایمن و شیوه های مهندسی نرم افزار، و همچنین به روز رسانی و وصله کردن اجزای شخص ثالث، ضروری است.
تمرکز ویژه برای تضمین امنیت یکپارچه سازی است. برنامه ها به ندرت به صورت مجزا عمل می کنند. آنها با هم تعامل دارند. نقاط تعامل و ادغام نقاط شکست معمولی هستند – به ویژه زمانی که مسئولیت های تیم ها و سازمان های مختلف با هم جمع می شوند.
شکل 2: منظره های کاربردی با اجزا و لایه های زیرین در مراکز داده و ابرهای دنیای واقعی
گزارش های تضمین ارائه دهنده ابر
برای بارهای کاری ابری، تیمهای تضمین امنیت باید شواهدی را برای پایبندی هر مؤلفه به استانداردهای امنیتی، از جمله برای مؤلفهها و پیکربندیهایی که ارائهدهنده ابر اجرا میکند، ارزیابی و جمعآوری کنند. خوشبختانه، ارائهدهندگان ابر گواهیهای اطمینان و انطباق قابل دانلود را ارائه میدهند. این گواهی ها و گزارش ها برای کسب و کار ارائه دهندگان ابر ضروری هستند. مشتریان بزرگتر، به خصوص، فقط با فروشندگانی کار می کنند که استانداردهای مربوط به این مشتریان را رعایت می کنند. استانداردهای دقیق بسته به حوزه قضایی و صنعت مشتریان متفاوت است. شکل 3 طیف گسترده ای از استانداردهای جهانی، خاص کشور و صنعت خاص را نشان می دهد که Azure (به عنوان مثال) برای دانلود به مشتریان و مشتریان احتمالی خود ارائه می دهد.
شکل 3: وب سایت Azure با گزارش های اطمینان
این گزارشهای تضمین امنیت ابر لایه زیرساخت و امنیت سرویسهای IaaS، PaaS و SaaS ارائهدهنده ابر را پوشش میدهد. آنها پیکربندی، وصله یا عملیات خاص مشتری، از جمله ایمن کردن سطل های AWS S3 در برابر دسترسی های غیرمجاز یا وصله ماشین های مجازی را پوشش نمی دهند (شکل 4). اینکه آیا مشتریان این خدمات را به طور ایمن پیکربندی کرده و آنها را به اندازه کافی کنار هم قرار می دهند در دست مشتریان است – و تیم تضمین امنیت مشتری باید آن را تأیید کند.
شکل 4: پوشش جزء و موضوع گزارش های اطمینان
گزارش های اطمینان برای محیط های ابری مشتری
اطمینان از تضمین امنیت ابری و انطباق، مستلزم تأیید در برابر استانداردهایی مانند ISO 27001:2022 است که شامل کنترلهای متعددی است. متخصصان تضمین باید شواهدی را برای اجزا و پیکربندیهایی که توسط گزارشهای تضمین ارائهدهنده ابر پوشش داده نمیشوند، جمعآوری کنند. با ارائهدهندههای ابری که گزارشهای تضمین داخلی را ارائه میکنند، به دلیل جمعآوری خودکار شواهد، امیدی به کاهش گسترده در کار تضمینی وجود دارد. با این حال، نمونههای ما از Azure و GCP نشان میدهند که امیدها و واقعیتها کاملاً مطابقت ندارند (هنوز).
GCP
Google با ترسیم آسیبپذیریها و پیکربندیهای نادرست به کنترلهای بالقوه تحت تأثیر یک استاندارد خاص مانند ISO 27001، به موضوع از پایین به بالا نزدیک میشود (شکل 6). به عنوان مثال، اگر یک VM یک IP عمومی داشته باشد (ممنوع امنیتی)، GCP این را به عنوان نقض چهار کنترل ISO تعبیر می کند: A5.10، A5.15، A8.3، و A8.4. بنابراین، گزارشهای GCP با فهرست کردن کنترلهای دارای تخلفات زیاد، به شناسایی نقاط ضعف کمک میکنند. با این حال، این گزارشها نمیتوانند جایگزین ارزیابیهای انسانی شوند – حداقل نه برای ISO 27001 – زیرا نمیتوانند موضوعات عملیاتی و رویهای ضروری را که به ویژه در ISO 27001 مهم هستند پوشش دهند.
شکل 6: GCP ISO گزارش ها و نیازهای اطمینان
لاجوردی
Azure مایکروسافت با اجرای یک فلسفه از بالا به پایین رویکرد متفاوتی را دنبال می کند. تمام کنترل ها را فهرست می کند، به عنوان مثال، موارد مربوط به ISO 27001، و سیاست هایی را برای هر یک از این کنترل های ISO برای تأیید اجرای آنها ارائه می دهد. Azure گزارش انطباق خودکار را ارائه می دهد، اما فقط برای تعداد کمی از این خط مشی ها. بسیاری نیاز به ارزیابی دستی دارند. به عنوان مثال، تنها یکی از پنج کنترل “طبقه بندی اطلاعات” خودکار است. بنابراین، بهتر است خطمشیهای Azure را بهعنوان فهرستهای انجامشده برای تضمین امنیت ابر، مشابه سند ISO 27002 درک کنید. ISO 27002 و گزارش Azure قوانین و دستورالعمل های دقیقی را برای اجرای کنترل های ISO 27001 ارائه می کنند. این ویژگی رویکرد Azure نشان میدهد که Azure بسیاری از کارهای تضمین امنیت مشتریان خود را خودکار نمیکند.
برای جمعبندی، گزارشهای تضمین ارائهدهنده ابر برای شناسایی پیکربندیهای نادرست و آسیبپذیریها در چشمانداز برنامههای کاربردی مشتری فوقالعاده هستند. با این حال، جایگزینی متخصصان انسانی با گزارشهای تضمین تولید خودکار، حداقل برای ISO 27001 غیرواقعی است، همانطور که در بحث ما درباره قابلیتهای GCP و Azure توضیح داده شد. چالشها حتی در محیطهای چند ابری با بار کاری در Azure، AWS، Alibaba Cloud و GCP که سازمانها تمایل دارند گزارشهای اطمینان منسجم را هدف قرار دهند – یا اگر حسابرسان و تنظیمکنندهها خواستار پوشش عمیق کنترلهای خاص یا شواهد دقیق باشند، تقویت میشوند. بنابراین، تضمین امنیت ابری از اصل کتابچه Panini پیروی میکند: شما به انسانی نیاز دارید که برای جمعآوری برچسبها (شواهد) برای همه مؤلفهها اختصاص داشته باشد – و تا زمانی که به هدف خود برسید، پول زیادی خرج میکنید.