Мы изучаем возможности и ограничения автоматизированного обеспечения безопасности, подробно рассматривая отчеты GCP и облака Azure для ISO 27001.
Обеспечение безопасности имеет решающее значение для крупных организаций, поскольку старшие менеджеры все больше несут ответственность за безопасность, но часто не имеют времени, чтобы глубоко погрузиться в ее проблемы и в значительной степени полагаются на команды по безопасности и обеспечению безопасности. С ростом автоматизации и инфраструктуры как кода (IaC) в облаке у менеджеров появилась новая мечта: заменить ручное, дорогостоящее и ориентированное на человека обеспечение на предоставляемые облаком автоматизированные отчеты по обеспечению безопасности, чтобы сделать обеспечение более эффективным. Далее мы рассмотрим возможности и ограничения автоматизированного обеспечения безопасности, более подробно рассмотрев облачные отчеты для ISO 27001 в контексте Google Cloud Platform (GCP) и Azure — распространенный сценарий обеспечения.
Роль обеспечения безопасности
Обеспечение безопасности выступает в качестве второй линии защиты в системе управления рисками организации, которая обычно организована в соответствии с трехлинейной моделью Института внутренних аудиторов (IIA) (рисунок 1):
-
Первая линия : оперативные группы, отвечающие за ежедневные задачи, такие как исправление ошибок на серверах, тестирование на проникновение или проектирование сетей.
-
Вторая линия : группы обеспечения безопасности, которые проверяют наличие и надлежащее функционирование средств контроля безопасности по всей организации, т. е. работу первой линии. Обычно они проверяют на соответствие таким стандартам, как NIST, CIS, HIPAA или ISO 27001.
-
Третья линия : Внутренний аудит, проверяющий работу первой и второй линий. В отличие от них, внутренний аудит отчитывается перед советом директоров или аудиторским комитетом о независимости.
-
Внешние аудиторы и регулирующие органы дополняют картину.
Из всех этих команд организация второй линии может извлечь наибольшую пользу из автоматизированных отчетов о соответствии облачным требованиям, поскольку команды по обеспечению соответствия стремятся получить целостный обзор всей организации, центров обработки данных и приложений. Напротив, все остальные команды имеют более узкую направленность.
Проблема сложных прикладных ландшафтов
Сложность ландшафтов приложений создает значительные проблемы для обеспечения безопасности. Хостинг-провайдер с сертификатом ISO 27001 — это отлично, но недостаточно, если не охвачен уровень приложений. Таким образом, целостное понимание центров обработки данных имеет важное значение:
-
Уровень инфраструктуры охватывает оборудование, функциональность гипермасштабирования, настройку облака и сеть. Безопасная архитектура облачной инфраструктуры поставщика и центра обработки данных клиента имеет важное значение, например, в отношении зонирования сети. Другие аспекты включают устойчивость, например, аварийное электропитание и защиту от воздействия окружающей среды.
-
Уровень операционной системы фокусируется на адекватной настройке и своевременных обновлениях, включая мониторинг безопасности и интеграцию отчетов.
-
Правильные настройки, регулярные обновления и исправления имеют решающее значение для компонентов промежуточного программного обеспечения, таких как базы данных, шлюзы API, а также службы каталогов или обмена сообщениями.
-
Уровень приложений охватывает программное обеспечение, которое строится на компонентах промежуточного ПО и включает облачные PaaS, SaaS и внешние сервисы. Безопасные методы проектирования и разработки программного обеспечения, а также обновление и исправление сторонних компонентов имеют важное значение.
Особое внимание при обеспечении безопасности уделяется интеграции. Приложения редко работают изолированно; они взаимодействуют. Точки взаимодействия и интеграции являются типичными точками разрыва, особенно когда объединяются обязанности различных команд и организаций.
Отчеты о гарантиях поставщика облачных услуг
Для облачных рабочих нагрузок группы по обеспечению безопасности должны оценить и собрать доказательства соответствия каждого компонента стандартам безопасности, включая компоненты и конфигурации, которые использует поставщик облачных услуг. К счастью, поставщики облачных услуг предлагают загружаемые сертификаты обеспечения и соответствия. Эти сертификаты и отчеты имеют важное значение для бизнеса поставщиков облачных услуг. Крупные клиенты, в частности, работают только с поставщиками, которые придерживаются стандартов, актуальных для этих клиентов. Точные стандарты различаются в зависимости от юрисдикции и отрасли клиентов. На рисунке 3 показан широкий спектр глобальных, специфичных для страны и отрасли стандартов, которые Azure (например) предоставляет для загрузки своим клиентам и потенциальным клиентам.
Эти отчеты по обеспечению безопасности облака охватывают уровень инфраструктуры и безопасность услуг IaaS, PaaS и SaaS облачного провайдера. Они не охватывают специфические для клиента конфигурации, исправления или операции, включая защиту контейнеров AWS S3 от несанкционированного доступа или исправления виртуальных машин (рисунок 4). То, настраивают ли клиенты эти сервисы безопасно и объединяют ли они их надлежащим образом, зависит от них самих, и группа обеспечения безопасности клиентов должна это проверить.
Отчеты о проверке облачных сред клиентов
Обеспечение безопасности облака и соответствия требованиям требует проверки по таким стандартам, как ISO 27001:2022, что подразумевает многочисленные элементы управления. Специалисты по обеспечению должны собирать доказательства для компонентов и конфигураций, не охваченных отчетами по обеспечению облачных поставщиков. Поскольку поставщики облачных услуг предлагают встроенные отчеты по обеспечению, есть надежда на значительное сокращение работы по обеспечению за счет автоматического сбора доказательств. Однако наши примеры из Azure и GCP показывают, что надежды и реальность не совсем совпадают (пока).
GCP
Google подходит к теме снизу вверх, сопоставляя уязвимости и неправильные конфигурации с потенциально затронутыми элементами управления определенного стандарта, такого как ISO 27001 (рисунок 5). Например, если у виртуальной машины есть публичный IP (недопустимый по безопасности), GCP интерпретирует это как нарушение четырех элементов управления ISO: A5.10, A5.15, A8.3 и A8.4. Таким образом, отчеты GCP помогают выявить слабые места, перечисляя элементы управления со многими нарушениями. Однако эти отчеты не могут заменить человеческие оценки — по крайней мере, для ISO 27001 — поскольку они не могут охватывать основные операционные и процедурные темы, которые особенно важны в ISO 27001.
Azure
Azure от Microsoft следует другому подходу, реализуя философию «сверху вниз». Он перечисляет все элементы управления, например, для ISO 27001, и предоставляет политики для каждого из этих элементов управления ISO для проверки их реализации. Azure обеспечивает автоматическую отчетность о соответствии, но только для некоторых из этих политик. Многие требуют ручной оценки. Например, только один из пяти элементов управления «классификация информации» автоматизирован. Поэтому лучше всего понимать политики Azure как специально разработанные списки дел для обеспечения безопасности облака, аналогичные документу ISO 27002. ISO 27002 и отчет Azure предоставляют подробные правила и рекомендации по внедрению элементов управления ISO 27001. Такая характеристика подхода Azure подразумевает, что Azure не автоматизирует большую часть работы по обеспечению безопасности своих клиентов.
В заключение следует сказать, что отчеты о гарантиях поставщиков облачных услуг отлично подходят для выявления неверных конфигураций и уязвимостей в ландшафтах клиентских приложений. Однако замена специалистов-людей автоматически сгенерированными отчетами о гарантиях нереальна, по крайней мере, для ISO 27001, как объяснялось в нашем обсуждении возможностей GCP и Azure. Проблемы еще больше усугубляются в многооблачных средах с рабочими нагрузками в Azure, AWS, Alibaba Cloud и GCP, где организации стремятся к согласованным отчетам о гарантиях — или если аудиторы и регулирующие органы требуют углубленного охвата конкретных элементов управления или подробных доказательств. Таким образом, обеспечение безопасности в облаке будет продолжать следовать принципу брошюры Panini: вам нужен человек, выделенный для сбора наклеек (доказательств) для всех компонентов — и вы тратите много денег, пока не достигнете своей цели.