Организации, стремящиеся улучшить свою облачную архитектуру безопасности, должны будут пройти через несколько стандартов безопасности перед внедрением. Но какие из них оказывают наибольшее влияние и почему?
Обеспечение того, чтобы ваша организация следовала лучшим практикам по сдерживанию хакеров, и знание того, что вы не несете ответственности, если что-то пойдет не так, — это две веские причины, по которым руководители внедряют стандарты безопасности. Но какой стандарт имеет значение при разработке вашей системы безопасности в облаке ? Эта статья дает ответ, рассматривая стандарты и структуры CIS, ISO, MITRE и CSA.
ISO 27001 и архитектура облачной безопасности
Семейство международных стандартов ISO 27001 (рис. 1) присутствует в ИТ-безопасности дольше, чем большинство из нас. Основанный на британском стандарте BS-7799 середины 90-х годов, первая версия ISO 27001 датируется 2005 годом. Стандарт определяет, как создавать и управлять системой управления информационной безопасностью (ISMS). Термин «система» не относится к техническим решениям как таковым, а относится к организационным возможностям по управлению информационной безопасностью, для чего может потребоваться программное обеспечение. Это, вероятно, наиболее подходящий стандарт для облачной безопасности, поскольку многие корпоративные клиенты, ИТ-директора, директора по информационной безопасности или советы директоров настаивают на сертификации.
ISO 27001 состоит из двух важных частей: во-первых, в его основном разделе подробно рассматривается СМИБ. Во-вторых, в Приложении A перечислены средства контроля, которые компании должны внедрить и использовать в своих СМИБ. Он охватывает организационные аспекты, такие как вопросы управления персоналом, потребность в директивных документах, а также технические характеристики и возможности. Примерами последних являются запасы активов или предметы первой необходимости для криптографии.
Документ ISO 27002 «Менеджеры информационной безопасности» более подробно описывает, как компании могут внедрять средства управления из Приложения A ISO 27001. Документ ISO 27017 « Свод правил для средств управления информационной безопасностью на основе ISO/IEC 27002 для облачных архитекторы облачной безопасности. В нем подробно описаны элементы управления в облачном контексте с разграничением обязанностей поставщиков облачных услуг и обязанностей их клиентов.
Совместная ответственность поставщика и клиента является фундаментальным принципом безопасности облачных вычислений.
- Поставщики облачных услуг должны следовать стандарту ISO 27001 в отношении своих организационных процедур и настроек, технической инфраструктуры и всех программных компонентов, которые они используют. Такие сертификаты есть у всех известных производителей.
- Если клиенты облачных служб хотят получить сертификат ISO 27001, они должны настроить свою облачную среду и ресурсы в соответствии со стандартом ISO 27001. Кроме того, их процессы и организация на стороне клиента должны соответствовать требованиям стандарта.
- Поставщики облачных услуг предлагают отчеты о соответствии своим клиентам, если последние стремятся получить сертификат ISO 27001. Облака оценивают соответствие клиентских компонентов и их облачной конфигурации. Однако эти отчеты охватывают только часть ISO 27001, например, что облака могут автоматически проверять. Они не могут фиксировать и оценивать требования, связанные с процессом или организацией.
Структура кибербезопасности NIST (CSF)
Национальный институт стандартов и технологий США публикует структуру кибербезопасности NIST . Его цель — оценить состояние безопасности агентств, организаций и компаний США. Он частично совпадает с нормой ISO 27001, но с одним существенным отличием: ISO полагается на внешний аудит, в то время как NIST требует самооценки.
Структура NIST состоит из трех основных элементов. Первый — это Framework Core, список действий, результатов или элементов управления, организованных по пяти функциям: идентификация, защита, обнаружение, реагирование и восстановление. Структура далее делит функции на категории и подкатегории, такие как «PR.DS-5: реализована защита от утечек данных» или «DE.DP-3: процессы протестированы».
Второй элемент CSF, Framework Tiers, формализует сложность управления рисками кибербезопасности в организации, что важно для любой организации, но не является основным направлением при разработке архитектуры инструментов облачной безопасности.
Третий элемент, Framework Profiles, помогает архитекторам безопасности определить свою дорожную карту. NIST различает текущие профили и целевые профили. Текущие профили описывают статус-кво, целевые профили определяют, что должна иметь конкретная организация, исходя из ее аппетита к риску. Сокращение разрыва между текущим и целевым профилем — задача архитекторов безопасности на ближайшие годы.
NIST и ISO напрямую влияют на работу архитекторов облачной безопасности. Оба перечисляют возможности безопасности, потенциально важные для архитектуры безопасности организации. NIST дает больше свободы для учета потребностей компании, хотя это трудоемкая задача. Кроме того, оба стандарта формулируют дополнительные требования, например, к процессам изменений, которые могут повлиять на инструментарий ИТ-отдела для выполнения рабочих нагрузок и разработки приложений в облаке.
Руководство CSA
Cloud Security Alliance (CSA) публикует влиятельное «Справочное руководство по архитектуре предприятия», которое основано на существующих стандартах, таких как ISO-27002, PCI-DSS или Cobit. В нем подробно перечислены возможности, связанные с безопасностью, которые могут понадобиться организациям, отвечающим за ИТ-безопасность, ИТ-отделам и другим подразделениям компании, таким как отдел кадров или юридические вопросы и соответствие требованиям. Это полезно для компаний, предпочитающих широкий обзор, не рассматривая слишком много стандартов.
Подход CSA к объединению и переосмыслению существующих стандартов для публичных облаков вместо того, чтобы предлагать совершенно новые средства контроля и требования, несет обнадеживающую мысль: сегодняшние структуры безопасности являются зрелыми. Облако не создает хаоса для возможностей безопасности, хотя для технической реализации могут потребоваться новые технологии.
Сравнительные тесты Центра интернет-безопасности (CIS)
CIS публикует эталонные тесты для многих стандартных программных решений и услуг, от операционных систем, браузеров и баз данных до облачных поставщиков, таких как Microsoft Azure., Amazon AWS и Google Cloud Platform. Эталонные тесты CIS полностью отличаются от ISO, NIST и CSA. Это низкоуровневые тесты технических конфигураций, которые не включают организационные, процедурные аспекты или необходимые инструменты, выходящие за рамки отдельного продукта или облака. Они предоставляют информацию о реализации и проверке основных облачных сервисов конкретной платформы, будь то AWS, GCP или Azure. Имена правил CIS отражают эту направленность, например, «5.1 Убедитесь, что сегмент облачного хранилища не является анонимным или общедоступным (GCP)» или «6.1 Убедитесь, что доступ RDP ограничен из Интернета (Azure)». Поставщики облачных услуг предоставляют готовые к использованию наборы правил для Azure.
Эталонные тесты CIS защищают компании от серьезных и легко предотвратимых неправильных конфигураций. Они не являются проектами архитектуры, структурами или методологиями облачной безопасности. Они также не охватывают многооблачные темы, проблемы безопасности при объединении облачных сервисов (например, виртуальных машин, бессерверных облачных функций, облачных сервисов баз данных) с решениями или инструментов безопасности в целом (например, для сканирования уязвимостей или предотвращения потери данных). Таким образом, архитекторы безопасности должны понимать и применять стандарт CIS, но они не могут полагаться на него при создании своих облачных архитектур безопасности.
Платформа MITRE ATT&CK
Платформа MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) объединяет широко распространенные на сегодняшний день методы взлома. Он организует их на основе фаз кибератаки, например разведка (злоумышленники собирают информацию о потенциальных целях и их инфраструктуре), первоначальный доступ, боковые перемещения, эксфильтрация и воздействие. Кроме того, структура связывает типичные методы атаки и известные группы злоумышленников.
Фреймворк ATT&CK помогает этичным хакерам имитировать типичные атаки. Он также поддерживает центры управления безопасностью при настройке правил для обнаружения распространенных и сложных атак. Вместо того чтобы внедрять эти правила самостоятельно, компании могут подписаться на расширенные службы облачной безопасности, такие как Microsoft Defender или Amazon GuardDuty. Это только одна из причин, по которой инфраструктура ATT&CK имеет ограниченное влияние на архитектуру облачной безопасности. Другая причина заключается в том, что подробный анализ и определение приоритетов самых последних атак в качестве входных данных для разработки архитектуры облачной безопасности требует слишком много времени для большинства компаний, чтобы подход, адекватный риску.
Заключение
NIST CSF, ISO, CIS, CSA и ATT&CK — одни из самых распространенных на сегодняшний день стандартов безопасности. Все они имеют разные цели и поэтому дополняют друг друга. Таким образом, архитекторы облачной безопасности должны стремиться реализовать два или три из них, а не пытаться определить «лучший».
Эталонный тест CIS помогает устранить самые серьезные недостатки безопасности в течение нескольких дней или недель. ISO, CSA и NIST помогают создать организационные структуры и определить недостающие основные технические возможности безопасности. Для таких проектов требуется как минимум несколько месяцев, а для NIST CSF требуется немного больше времени, чем для ISO, из-за необходимости большей адаптации. Наконец, организации с высоким уровнем риска, например, в сфере высоких технологий, в армии или в правительстве, могут также изучить структуру ATT&CK, чтобы лучше понять потенциальные методы атак и разработать специальные механизмы обнаружения и защиты. Это ресурсоемкое и трудоемкое мероприятие, которое большинство компаний предпочитают избегать.