雲端安全框架的完整指南
由於有如此多的應用程式和資料駐留在雲端中,因此使用安全性框架來協助保護雲端基礎架構是組織的必要舉措。
雲端安全框架是一組指導方針和控制,用於幫助保護組織的雲端基礎設施。它為雲端運算服務提供者及其客戶提供安全基準、驗證和認證。
雲端運算已經不再是積極的架構選擇,而更成為新應用程式的實際採用策略。越來越少的組織有目的地為新部署選擇內部部署或託管部署;相反,大多數企業選擇雲端部署。
無論採用何種部署模型,確保組織的技術環境都是不可或缺的。但是,保護雲端環境不同於其他環境,因此業界需要有關保護雲端平台的目標資源。關於如何最好地保護雲端的使用並長期保持其安全,已經發布了相當多有價值的指導。
在保護雲端運算使用方面,從業人員可以選擇一系列可用的指導。一方面,有詳細的技術指導,通常來自雲端提供者自己。這在尋求回答一個特定的、通常是技術性的問題時很有用,例如,如何在XYZ環境中設置blob存儲的加密?在研究如何從整體和體系結構上保護雲環境時,這種類型的指導不太有用。相較之下,更高層級的指導往往與供應商無關——也就是說,適用於不同的雲端環境——但與具體的、詳細的問題關係不大。
一種指導是雲端安全框架。這些框架可以為從業者提供重要的實用程式。首先,就像通用安全框架一般可以幫助您定義整個技術領域的整體安全狀態一樣,雲端安全框架專門為雲端部署做這方面的工作。它們也有附加價值。例如,雲端安全框架可以幫助驗證現有的安全措施,並進行參與前審查。
什麼是雲端安全框架?
透過更普遍的安全框架來理解雲端框架可能是最容易的——也就是說,不是特定於雲端的指導。有許多廣泛的安全框架,包括治理框架(例如COBIT和ITIL),架構框架(例如,SABSA,TOGAF),管理標準(例如,ISO/IEC27001)和NIST的網路安全框架。正如這些框架可以廣泛應用於任何技術領域或安全程序一樣,它們也適用於雲端。
存在各種通用的網路安全框架。
除了這些通用框架之外,還有多個可能與用例和場景相關的專用框架;這方面的一個例子是醫療保健場景中的HITRUST通用安全框架或支付場景中的PCIDSS。
這些框架對從業者很有用,但並不專門針對雲端運算。當然,它們可以用來幫助告知組織的雲態勢,但是特定於雲端的框架可能更有用。有一些重要的需要了解,包括雲端安全聯盟(CSA)、雲端控制矩陣(CCM)、雲端安全聯盟的安全、信任、保證和風險(STAR)註冊表、聯邦風險和授權管理計畫(FedRAMP)和ISO /IEC27017。同樣重要的是網路安全中心(CIS)關鍵安全控制,特別是與雲端伴侶指南一起使用時。還有許多其他的,具有廣泛的雲端適用性,但這裡提到的那些是經常使用的,在整個行業中備受尊重,特定於雲端運算,對csp及其客戶同樣有用。
雲端安全框架向更廣泛的產業提供有關適用於雲端環境的安全措施的資訊。與任何安全框架一樣,這些框架包括一組帶有關於控制(包括意圖和嚴格性)、控制管理、驗證和其他與保護雲端用例相關的資訊的特定指導的控制。
雲端安全框架的類型
每個框架都有自己的重點和目標;它們都是獨一無二的。但是,從分類學的角度來考慮它們是有用的。這樣做可以幫助明確哪些可能對什麼目的最有用。在高層次上,各種框架可以分為以下幾類:
•通用框架。這些框架是通用的,試圖為雲端環境提供關於控制選擇、範圍、狀態等方面的廣泛指導。
•綁定到現有的更廣泛的框架。其中包括特定於雲的指導,這些指導作為更廣泛的生態系統的一部分而存在,而不是以雲為中心。 CISCloudCompanionGuide就是一個例子,它將特定的雲端控制與非特定於雲端的CIS關鍵控制連結在一起。
•控制特定的指導。還有比一般框架更具體的指導,包括一些針對特定控製或控製家族的指導。一個例子是NIST特別出版物(SP)800-210“雲系統的通用存取控制指南”,它特定於雲,但也專注於一個控制族和主題——在這種情況下,存取控製而不是更通用的雲。
•認證架構。一些可用的指導直接或間接地支援認證工作。例如,CSA的CCM對其STAR計劃註冊是有用的。同樣,FedRAMP是一個認證工具,允許美國聯邦機構使用雲端服務。
這些類別之間有一些重疊。例如,ISO/IEC27017:2015(資訊科技-安全技術-基於ISO/IEC27002的雲端服務資訊安全控制實務規範)檢視了與上述類別相關的幾個方框。一方面,它是適用於大多數雲端部署的通用框架。它也存在於更廣泛的生態系統中(ISO/IEC27001和27002)。此外,它也是認證的潛在目標。
雲端安全框架如何有用?
由於以下幾個原因,使用框架作為一組控制和實踐對雲端運算服務提供者和雲端運算客戶都是有益的。首先,控制和對策的規範清單有助於指導從業者找到他們可以在自己的環境中評估和使用的具體措施。其次,清單提供了一個參考框架,在其中討論安全實踐和具體的安全對策;這為與安全相關的協商提供了基礎,例如雲端消費者和提供者之間就共享責任模型中各自的責任等問題進行的協商。
此外,組織可以採用幾乎無限種可能的對策來保護其環境。擁有一個普遍接受的控制清單可以幫助雲端運算服務商決定如何投入時間和預算,並為客戶提供在評估雲端運算服務商時應該尋找哪些標準安全機制的指導。
具體來說,框架可以作為評估的基線:它們為雲端客戶提供了一個結構,以評估提供者或比較提供者之間的安全實踐。他們還可以幫助服務提供者展示他們的安全實踐,要么幫助他們的客戶進行合約前審查,要么作為他們銷售敘述的一部分。框架中規定的控制措施越具體、越規範,就越有利於發揮這種評估能力。
如果有策略地使用,框架可以減少工作量並為客戶和雲端運算服務提供者提供價值。作為評估清單的基礎,它們減少了潛在客戶的工作。框架還透過減少客戶可能提交給提供者的不同的、一次性的評估問卷的數量,減少了雲端運算服務商的工作。即使客戶堅持使用自己的問卷,框架仍然可以簡化客戶審查所涉及的工作,使供應商能夠根據一組已知的標準組織回應、準備敘述和收集證據,而不是單獨針對他們可能遇到的每個客戶。
如何選擇雲端安全框架
採用雲端安全框架是一個相對簡單的過程,但根據是客戶還是雲端服務供應商,它確實會有所不同。對於客戶來說,選擇哪家公司在很大程度上取決於公司更廣泛的專案和業務背景。例如,美國聯邦政府機構或承包商幾乎肯定會先調查FedRAMP。 FedRAMP提供了一套基於標準安全措施的驗證標準,並簡化了政府使用的csp的註冊。一個大型跨國組織,其安全程序已經建立在ISO/IEC27001之上,並結合了ISO/IEC27002的控制,可能會發現ISO/IEC27017更適合,因為控制將是熟悉的,它將直接與現有的安全程序保持一致。
雲端運算服務提供者(csp)應該採用一組框架,包括雲端和安全框架,這些框架在他們所服務的市場中是已知和接受的。如上所述,考慮這些特定框架的原因之一是它們支援的保證程序。對於FedRAMP,雲端運算服務商可以成為FedRAMP授權的服務提供者。雲端運算服務商可以通過ISO/IEC標準或任何ISO管理系統標準的認證。 CSA有它的共識評估倡議問卷,建立在CCM和它的STAR註冊表上,它證明了遵守的有效性。雲端運算服務商應該支援的框架是可能在其客戶中得到最多認可的框架。
無論選擇哪一種,雲端安全框架都可以幫助雲端安全工作。框架提供了討論具體控制的通用語言,以及評估和認證的基準;他們為組織內部安全工作創造了一個支柱。學習可用的框架選項是值得花時間的。
最佳實踐
當評估和決定哪個框架(或框架組合)適合您時,請記住以下最佳實踐:
1.根據業務定制框架。要特別注意與更廣泛的業務場景連結在一起的框架。如上所述,如果您是美國聯邦機構,那麼像FedRAMP這樣的結構可能更可取。
2.根據安全程序自訂框架。另外,在評估框架時要考慮更廣泛的安全程序。如果您的安全程序是圍繞ISO/IEC27001/27002構建的,那麼ISO/IEC27017可能比CIS控制等更適合您。
3.但要始終如一。記住這是一場馬拉松,不是短跑;保持可控的速度。根據場景和您的組織,使用框架可能涉及大量工作,特別是如果您是雲端運算新手或安全程序日趨成熟。不要試圖一次做完所有的事情。就像鍛鍊養生法一樣,如果你慢慢開始並建立一個框架,那麼使用框架會更容易。不要做那種第一天去健身房練了三個小時,隔天就酸痛得再也回不來的人。相反,隨著時間的推移,尋求持續的進步。
雲端安全框架的未來
考慮框架可能如何變化是很有用的。雖然沒有人確切知道它們將如何或何時出現,但它們可能會以一些方式進化。
隨著時間的推移,可能期望看到正規化和成熟。在雲端的早期,像這些框架這樣的指導存在著巨大的壓力,因為雲端模型是新的,從業者很難保證它們的安全。隨著雲端變得越來越普遍——現在是規範的部署模型——有機會指導在覆蓋深度上成熟,並更全面地處理邊緣情況。
我們可能會看到的另一件事是,在這些框架最初構想時,包含了積極和頻繁使用的新技術,但這些技術不太規範。例如,將服務網格和基礎設施等技術視為程式碼。兩者幾乎都可以與雲端環境無縫配合,但現有指南可能無法直接解決此問題。期望指南的新迭代和更新來處理這些技術。這可以透過印發補充資料(例如,特定技術的增編)或將來對框架本身進行改進來實現。
最後,也許對從業者最直接有用的是,期望看到專業的社區建設專業知識和對現有指南的熟悉程度,可能以二級來源指南的方式-例如,專家編寫指南和像這樣的如何操作提示-旨在幫助從業者有效地利用這些資源。