学习热爱审计和合规性 - 一切皆有可能
对于大多数企业来说,保护公有云中运行的工作负载并满足合规性标准是一个不容商榷的任务。但是,将必要的可见性、映射和监控能力结合在一起,通常是一个手动且耗时的过程。 结果是,审计和合规性活动可能会给安全和合规性团队带来延误和焦虑。
在云基础设施中,审计和合规性要求是一个众所周知的难题,“学习热爱”听起来可能非常不切实际。在这篇博客中,我们将探讨云中的合规性和访问安全挑战,以及安全专业人士如何利用合适的工具和策略来轻松完成审计。
尽管看似简单,但在云中实现合规性并不是填写几份表格就可以完成。有些监管标准和最佳实践提供了非常具体的说明,但也有许多其他更为抽象的监管标准和最佳实践。抽象的标准可能要求完成某个目标,却不解释如何去做。在这种情况下,谁也说不准需要实施哪些方法和工具来满足标准,以及如何确保持续合规性。
有些标准之所以抽象,是因为安全并不是一种一刀切的做法。特别是云环境是多维且动态的,新的漏洞不断出现。此外,根据所在行业、公司规模和地点的不同,企业也有不同的合规性要求。即使是最详细的具体合规性说明列表,也无法涵盖所有可能的安全场景。
云环境中,复杂的法规和框架组合只是安全合规性挑战的冰山一角。在大多数企业中,许多团队和工具在企业的云生态系统中工作,包括:
- 开发和维护云环境的基础设施团队;
- 将代码推送到生产环境的开发人员;以及
- 负责配置新服务和人员身份的身份和访问管理 (IAM) 专业人员。
涉及的众多利益相关者使得安全团队在将基本的合规性细节(如正在运行哪些资源以及具有哪些权限)映射到行业基准时耗费大量时间。更加复杂的是,许多企业会将多个云服务提供商 (CSP) 和本地基础设施结合使用,这使得合规性团队陷入无休止的电子邮件线程和会议中,同时还要处理几乎一创建出来就过时的资产清单。
虽然合规性团队可能承担了大部分工作量,但对 DevOps 和基础设施团队来说,合规性也绝非易事。这两个团队经常被匆忙要求对其云资源产生精细化的洞察。
如果没有对云架构的集中视图,合规性团队就无法跨多个云查看,也无法监控应用程序运行时配置的频繁更改。要隔离出公开暴露的 Lambda 服务或糟糕的访问管理等合规性问题更是难上加难,更不用说对哪一个问题需要最先修复进行优先级分析了。
通过 CNAPP 学习如何热爱审计
一个高质量的云原生应用程序保护平台 (CNAPP),包括基础设施配置管理、集中式多云可见性和可定制报告,可以减轻团队大量的合规性相关工作。此外,一个良好的 CNAPP 不仅限于合规性,还会根据最佳实践加强企业的安全态势。这是因为,正如许多经验丰富的安全专业人士所知,证明合规性只是整体安全战略的一部分。即使能够通过审计,但如果没有跟上新的和新兴的最佳实践的步伐,云安全态势仍将会受到影响。理想的 CNAPP 将在合规性和安全最佳实践之间取得平衡,并提供以下四种能力:
1. 监管范围的广度和深度
该解决方案应涵盖广泛的安全最佳实践,以及领先的行业和合规性标准。其中包括:
- 互联网安全中心 (CIS)、国际标准化组织 (ISO) 和美国国家标准与技术研究院 (NIST) 等机构的基准
- 支付卡行业 (PCI) 数据安全标准 (DSS) 和美国注册会计师协会 (AICPA) 服务组织控制 (SOC) 类型 2 等行业指南
- 通用数据保护条例 (GDPR) 和健康保险携带和责任法案 (HIPAA) 等法规。
确保平台提供的模板中包含了需要遵循的标准,并且经常更新。除了拥有一系列开箱即用的标准和策略外,该解决方案还应允许用户根据不断变化的需求进行定制,即使这些需求可能不符合现有的任何合规性要求。
图片来源: Tenable Cloud Security
2. 合规性-云相关性
在安全和合规性方面,上下文至关重要。企业应该有能力轻松地将每个标准映射到特定的云配置、云资源和云活动策略,同时为每个资产/帐户提供清晰的合规性状态清单。例如,遭到公开暴露的 Amazon Web Services (AWS) Lambda 服务可能会绕过云安全联盟 (CSA) STAR 计划标准、ISO 和 NIST 框架,或违反合规性法规。在 CNAPP 中掌握这种级别的精细度有助于深入了解可能不合规的领域,并使用内置的自动化措施迅速进行修复。
图片来源: Tenable Cloud Security
3. 持续监控
了解企业相对于行业标准和最佳实践的完成情况,不应该需要花费一个工作周的时间。Tenable Cloud Security 等解决方案会不断地检查整个环境是否符合框架和基准,以确保合规性并识别偏差和异常。企业以及任何利益相关者都应该在任何给定时间点,并且无需等待繁琐的审计,就能看到合规性状态。监控的任何延迟都会让企业容易受到恶意制造者的攻击。
图片来源: Tenable Cloud Security
4. 灵活的报告
CNAPP 应该通过覆盖企业所有层面的可见性和灵活的报告,帮助向审计员证明合规性。例如,所使用的工具应该能够看到整个企业的安全态势和合规性,同时也应该能够深入了解特定帐户和特定项目,以便为内部和外部审计员轻松生成合规性报告。
图片来源: Tenable Cloud Security
结论
实现云中合规性的第一步是将合规性准则转化为云架构的现实。了解拥有哪些云资产、这些资产容易受到哪些类型的漏洞的影响,以及这些信息与审计准则的关系,对于实现监控、报告和修复等持续的合规性工作至关重要。将环境建立映射后,下一步就可以基于合规性或自定义策略进行自动化监控。最后一步是可以生成一个自动化报告,帮助向审计员证明合规性。Tenable Cloud Security 可以帮助完成所有这些工作,以减少合规性障碍,并有助于学习热爱安全审计。
有关 Tenable Cloud Security 的更多信息或请求演示,请访问 Tenable Cloud Security 产品页面:https://www.tenable.com/products/tenable-cloud-security
相关文章
Identity is the New Perimeter: Why Your IdP Isn’t Enough
In a cloud-first world, identity is one of the most critical layers of security. While organizations are making progress using IdPs, major identity protection gaps remain....
Cybersecurity Snapshot: SharePoint Attacks Trigger Urgent Patching Calls, While U.S. Gov’t Unveils AI Innovation Plan
Check out the latest on attackers’ cyber siege of SharePoint servers. Plus, the White House releases plan to spur AI innovation. In addition, CISA alerts orgs about Interlock ransomware. And get the latest on Q2's top malware; ransomware trends; and credentialed scanning....
Tackling Shadow AI in Cloud Workloads
As enterprise adoption of cloud AI systems balloons, protecting them has become a priority for cybersecurity teams. Shadow AI – the rampant, unsanctioned use of AI apps and services – has emerged as a particularly critical threat. Here we outline two best practices that can help you combat shadow AI...
- Cloud
- Compliance
- Cloud
- Exposure Management