理解审计流程¶
信息系统安全合规性依赖于两个基础流程的完成
- 安全控制的实施和运行
将信息系统与适用的标准和法规对齐,涉及内部任务,这些任务必须在正式评估之前进行。审计员可以在这个阶段参与,进行差距分析、提供指导,并提高成功认证的可能性。
- 独立验证和确认
在许多信息系统获得认证状态之前,需要向中立的第三方证明系统安全控制已实施并有效运行,符合适用的标准和法规。许多认证要求定期审计以确保持续认证,这被认为是整体持续监控实践的一部分。
确定审计范围¶
确定审计范围,特别是需要哪些控制以及如何设计或修改 OpenStack 部署以满足这些控制,应该是初始规划步骤。
在对 OpenStack 部署进行合规性评估时,应优先考虑围绕敏感服务的控制,例如指挥和控制功能以及基础虚拟化技术。这些设施的妥协可能会影响整个 OpenStack 环境。
范围缩小有助于确保 OpenStack 架构师建立高质量的安全控制,这些控制是针对特定部署量身定制的,但至关重要的是要确保这些做法不会忽略安全加固的领域或功能。一个常见的例子适用于 PCI-DSS 指南,其中与支付相关的基础设施可能会因安全问题而受到审查,但支持服务被忽略,容易受到攻击。
在处理合规性时,通过识别适用于多种认证的常见领域和标准,可以提高效率并减少工作量。本书中讨论的许多审计原则和指南将有助于识别这些控制,此外,许多外部实体提供全面的列表。以下是一些例子
云安全联盟云控制矩阵 (Cloud Security Alliance Cloud Controls Matrix) (CCM) 协助云提供商和用户评估云提供商的整体安全性。CSA CMM 提供了一个控制框架,该框架映射到许多业界公认的标准和法规,包括 ISO 27001/2、ISACA、COBIT、PCI、NIST、Jericho Forum 和 NERC CIP。
SCAP 安全指南 (SCAP Security Guide) 是另一个有用的参考。这仍然是一个新兴的来源,但我们预计它将发展成为一个具有更侧重于美国联邦政府认证和建议的控制映射工具。例如,SCAP 安全指南当前有一些安全技术实施指南 (STIGs) 和 NIST-800-53 的映射。
这些控制映射将有助于识别跨认证的常见控制标准,并为审计员和被审计者提供对特定合规性认证和证明中控制集内的存在问题的可见性。
审计阶段¶
审计有四个不同的阶段,尽管大多数利益相关者和控制所有者只会参与一两个阶段。这四个阶段是规划、实地调查、报告和收尾。下面讨论了这些阶段中的每一个。
规划阶段通常在实地调查开始前两周到六个月进行。在这个阶段,审计项目,例如时间范围、时间表、要评估的控制以及控制所有者等,都会被讨论和最终确定。资源可用性、公正性和成本方面的担忧也会得到解决。
实地调查阶段是审计中最显而易见的部分。审计员会在现场,采访控制所有者,记录现有的控制,并识别任何问题。重要的是要注意,审计员将使用一个两部分过程来评估现有的控制。第一部分是评估控制的设计有效性。审计员将评估控制是否能够有效地防止或检测和纠正漏洞和缺陷。控制必须通过此测试才能在第二阶段进行评估。这是因为如果控制的设计无效,那么考虑其是否有效运行就没有意义。第二部分是运行有效性。运行有效性测试将确定控制的应用方式、控制应用的一致性以及控制的应用者或应用方式。控制可能依赖于其他控制(间接控制),如果它们依赖,则可能需要额外的证据来证明这些间接控制的运行有效性,以便审计员确定控制的整体运行有效性。
报告阶段是管理层将验证在实地调查阶段识别出的任何问题。出于后勤目的,一些活动,例如问题验证,可能会在实地调查阶段进行。管理层还需要提供补救计划来解决这些问题,并确保它们不会再次发生。将向利益相关者和管理层传阅总体报告的草稿以供审查。商定的更改将被合并,更新后的草稿将发送给高级管理层以供审查和批准。高级管理层批准报告后,报告将被最终确定并分发给执行管理层。任何问题都将输入组织使用的事件跟踪或风险跟踪机制。
收尾阶段是审计正式结束的地方。管理层将在此阶段开始补救活动。流程和通知用于确保任何与审计相关的信息都移动到安全存储库。
内部审计¶
一旦云部署完成,就该进行内部审计了。现在是时候将您上面识别出的控制与云中使用的设计、功能和部署策略进行比较。目标是了解如何处理每个控制以及存在哪些差距。记录所有发现以供将来参考。
审计 OpenStack 云时,重要的是要理解 OpenStack 架构中固有的多租户环境。一些关键的关注领域包括数据处置、虚拟机监控程序安全、节点加固和身份验证机制。
准备外部审计¶
一旦内部审计结果良好,就该准备外部审计了。在这个阶段,有几个关键的行动需要采取,这些行动如下
保留来自内部审计的良好记录。这些将在外部审计期间证明有用,以便您可以准备好回答有关将合规性控制映射到特定部署的问题。
部署自动化测试工具,以确保云随着时间的推移保持合规性。
选择审计员。
选择审计员可能具有挑战性。理想情况下,您正在寻找一位在云合规性审计方面具有经验的人。OpenStack 经验也是一个很大的优势。通常最好咨询那些经历过这个过程的人以获取推荐。成本可能会因参与范围和所考虑的审计公司而差异很大。
外部审计¶
这是正式的审计过程。审计员将测试特定认证范围内的安全控制,并要求提供证据要求来证明这些控制也在审计期间存在(例如 SOC 2 审计通常评估安全控制 6-12 个月)。任何控制失败都将被记录,并将记录在外部审计员的最终报告中。根据 OpenStack 部署的类型,这些报告可能会被客户查看,因此避免控制失败非常重要。这就是为什么审计准备如此重要的原因。
合规性维护¶
流程不会随着一次外部审计而结束。大多数认证要求持续的合规性活动,这意味着定期重复审计过程。我们建议将自动合规性验证工具集成到云中,以确保其始终合规。这应该与其他安全监控工具一起完成。请记住,目标是安全和合规性。在这两方面失败都会严重影响未来的审计。
