由于有如此多的应用程序和数据驻留在云中,因此使用安全框架来帮助保护云基础设施是组织的必要举措。
云安全框架是一组指导方针和控制,用于帮助保护组织的云基础设施。它为云计算服务提供商及其客户提供安全基准、验证和认证。
云计算已经不再是一种积极的架构选择,而更多地成为新应用程序的实际采用策略。越来越少的组织有目的地为新部署选择内部部署或托管部署;相反,大多数企业选择云部署。
无论采用何种部署模型,确保组织的技术环境都是必不可少的。但是,保护云环境不同于其他环境,因此业界需要有关保护云平台的目标资源。关于如何最好地保护云的使用并长期保持其安全,已经发布了相当多有价值的指导。
在保护云计算使用方面,从业者可以选择一系列可用的指导。一方面,有详细的技术指导,通常来自云提供商自己。这在寻求回答一个特定的、通常是技术性的问题时很有用,例如,如何在XYZ环境中设置blob存储的加密?在研究如何从整体和体系结构上保护云环境时,这种类型的指导不太有用。相比之下,更高级别的指导往往与供应商无关——也就是说,适用于不同的云环境——但与具体的、详细的问题关系不大。
一种指导是云安全框架。这些框架可以为从业者提供重要的实用程序。首先,就像通用安全框架一般可以帮助您定义整个技术领域的整体安全状态一样,云安全框架专门为云部署做这方面的工作。它们也有附加价值。例如,云安全框架可以帮助验证现有的安全措施,并进行参与前审查。
什么是云安全框架?
通过更普遍的安全框架来理解云框架可能是最容易的——也就是说,不是特定于云的指导。有许多广泛的安全框架,包括治理框架(例如COBIT和ITIL),架构框架(例如,SABSA,TOGAF),管理标准(例如,ISO/IEC27001)和NIST的网络安全框架。正如这些框架可以广泛应用于任何技术领域或安全程序一样,它们也适用于云。
存在各种通用的网络安全框架。
除了这些通用框架之外,还存在多个可能与用例和场景相关的专用框架;这方面的一个例子是医疗保健场景中的HITRUST通用安全框架或支付场景中的PCIDSS。
这些框架对从业者很有用,但并不专门针对云计算。当然,它们可以用来帮助告知组织的云态势,但是特定于云的框架可能更有用。有一些重要的需要了解,包括云安全联盟(CSA)、云控制矩阵(CCM)、云安全联盟的安全、信任、保证和风险(STAR)注册表、联邦风险和授权管理计划(FedRAMP)和ISO/IEC27017。同样重要的是互联网安全中心(CIS)关键安全控制,特别是与云伴侣指南一起使用时。还有许多其他的,具有广泛的云适用性,但这里提到的那些是经常使用的,在整个行业中备受尊重,特定于云计算,对csp及其客户同样有用。
云安全框架向更广泛的行业提供有关适用于云环境的安全措施的信息。与任何安全框架一样,这些框架包括一组带有关于控制(包括意图和严格性)、控制管理、验证和其他与保护云用例相关的信息的特定指导的控制。
云安全框架的类型
每个框架都有自己的重点和目标;它们都是独一无二的。但是,从分类学的角度来考虑它们是有用的。这样做可以帮助明确哪些可能对什么目的最有用。在高层次上,各种框架可以分为以下几类:
•通用框架。这些框架是通用的,试图为云环境提供关于控制选择、范围、状态等方面的广泛指导。
•绑定到现有的更广泛的框架。其中包括特定于云的指导,这些指导作为更广泛的生态系统的一部分而存在,而不是以云为中心。CISCloudCompanionGuide就是一个例子,它将特定的云控制与非特定于云的CIS关键控制联系在一起。
•控制特定的指导。还有比一般框架更具体的指导,包括一些针对特定控件或控件家族的指导。一个例子是NIST特别出版物(SP)800-210“云系统的通用访问控制指南”,它特定于云,但也专注于一个控制族和主题——在这种情况下,访问控制而不是更通用的云。
•认证框架。一些可用的指导直接或间接地支持认证工作。例如,CSA的CCM对其STAR计划注册是有用的。同样,FedRAMP是一个认证工具,允许美国联邦机构使用云服务。
这些类别之间有一些重叠。例如,ISO/IEC27017:2015(信息技术——安全技术——基于ISO/IEC27002的云服务信息安全控制实践规范)检查了与上述类别相关的几个方框。一方面,它是适用于大多数云部署的通用框架。它也存在于更广泛的生态系统中(ISO/IEC27001和27002)。此外,它也是认证的潜在目标。
云安全框架如何有用?
由于以下几个原因,使用框架作为一组控制和实践对云计算服务提供商和云计算客户都是有益的。首先,控制和对策的规范列表有助于指导从业者找到他们可以在自己的环境中评估和使用的具体措施。其次,清单提供了一个参考框架,在其中讨论安全实践和具体的安全对策;这为与安全相关的协商提供了基础,例如云消费者和提供商之间就共享责任模型中各自的责任等问题进行的协商。
此外,组织可以采用几乎无限种可能的对策来保护其环境。拥有一个普遍接受的控制列表可以帮助云计算服务商决定如何投入时间和预算,并为客户提供在评估云计算服务商时应该寻找哪些标准安全机制的指导。
具体来说,框架可以作为评估的基线:它们为云客户提供了一个结构,以评估提供商或比较提供商之间的安全实践。他们还可以帮助服务提供商展示他们的安全实践,要么帮助他们的客户进行合同前审查,要么作为他们销售叙述的一部分。框架中规定的控制措施越具体、越规范,就越有利于发挥这种评价能力。
如果有策略地使用,框架可以减少工作量并为客户和云计算服务商提供价值。作为评估清单的基础,它们减少了潜在客户的工作。框架还通过减少客户可能提交给提供商的不同的、一次性的评估问卷的数量,减少了云计算服务商的工作。即使客户坚持使用他们自己的调查问卷,框架仍然可以简化客户审查所涉及的工作,使供应商能够根据一组已知的标准组织响应、准备叙述和收集证据,而不是单独针对他们可能遇到的每个客户。
如何选择云安全框架
采用云安全框架是一个相对简单的过程,但根据是客户还是云服务提供商,它确实会有所不同。对于客户来说,选择哪家公司在很大程度上取决于公司更广泛的项目和业务背景。例如,美国联邦政府机构或承包商几乎肯定会首先调查FedRAMP。FedRAMP提供了一套基于标准安全措施的验证标准,并简化了政府使用的csp的注册。一个大型跨国组织,其安全程序已经建立在ISO/IEC27001之上,并结合了ISO/IEC27002的控制,可能会发现ISO/IEC27017更适合,因为控制将是熟悉的,它将直接与现有的安全程序保持一致。
云计算服务提供商(csp)应该采用一组框架,包括云和安全框架,这些框架在他们所服务的市场中是已知和接受的。如上所述,考虑这些特定框架的原因之一是它们支持的保证程序。对于FedRAMP,云计算服务商可以成为FedRAMP授权的服务提供商。云计算服务商可以通过ISO/IEC标准或任何ISO管理体系标准的认证。CSA有它的共识评估倡议问卷,建立在CCM和它的STAR注册表上,它证明了遵守的有效性。云计算服务商应该支持的框架是可能在其客户中得到最多认可的框架。
无论选择哪一种,云安全框架都可以帮助云安全工作。框架提供了讨论具体控制的通用语言,以及评估和认证的基准;他们为组织内部安全工作创造了一个支柱。学习可用的框架选项是值得花时间的。
最佳实践
当评估和决定哪个框架(或框架组合)适合您时,记住以下最佳实践:
1.根据业务定制框架。要特别注意与更广泛的业务场景联系在一起的框架。如上所述,如果您是美国联邦机构,那么像FedRAMP这样的结构可能更可取。
2.根据安全程序定制框架。另外,在评估框架时要考虑更广泛的安全程序。如果您的安全程序是围绕ISO/IEC27001/27002构建的,那么ISO/IEC27017可能比CIS控制等更适合您。
3.但要始终如一。记住这是一场马拉松,不是短跑;保持可控的速度。根据场景和您的组织,使用框架可能会涉及大量工作,特别是如果您是云计算新手或安全程序日趋成熟。不要试图一次做完所有的事情。就像锻炼养生法一样,如果你慢慢开始并建立一个框架,那么使用框架会更容易。不要做那种第一天去健身房练了三个小时,第二天就酸痛得再也回不来的人。相反,随着时间的推移,寻求持续的进步。
云安全框架的未来
考虑框架可能如何变化是很有用的。虽然没有人确切知道它们将如何或何时出现,但它们可能会以一些方式进化。
随着时间的推移,可能期望看到正规化和成熟。在云的早期,像这些框架这样的指导存在着巨大的压力,因为云模型是新的,从业者很难保证它们的安全。随着云变得越来越普遍——现在是规范的部署模型——有机会指导在覆盖深度上成熟,并更全面地处理边缘情况。
我们可能会看到的另一件事是,在这些框架最初构想时,包含了积极和频繁使用的新技术,但这些技术不太规范。例如,将服务网格和基础设施等技术视为代码。两者几乎都可以与云环境无缝配合,但现有指南可能无法直接解决这一问题。期望指南的新迭代和更新来处理这些技术。这可以通过印发补充材料(例如,特定技术的增编)或将来对框架本身进行改进来实现。
最后,也许对从业者最直接有用的是,期望看到专业的社区建设专业知识和对现有指南的熟悉程度,可能以二级来源指南的方式-例如,专家编写指南和像这样的如何操作提示-旨在帮助从业者有效地利用这些资源。