Coalfire公司參與了為各種機構(gòu)實施持續(xù)診斷和緩解(CDM)服務(wù),并且是最大的第三方評估機構(gòu)(3PAO),它開展了更多的FedRAMP授權(quán),能夠幫助客戶思考這一挑戰(zhàn)。但是,這些概念和挑戰(zhàn)并不是作為持續(xù)診斷和緩解(CDM)計劃一部分的政府機構(gòu)所獨有的,他們還將在其他政府和國防部社區(qū)以及商業(yè)實體進行轉(zhuǎn)化。
美國國土安全部(DHS)持續(xù)診斷和緩解(CDM)計劃的第一階段主要側(cè)重于靜態(tài)資產(chǎn),并且大部分都排除了采用云計算。它以建立和了解庫存為中心,然后可以每隔72小時進行一次掃描,其目標是確定資產(chǎn)是否被授權(quán)在網(wǎng)絡(luò)上、正在被管理,以及是否安裝了易受攻擊和/或配置錯誤的軟件。隨著云計算成為下一輪持續(xù)診斷和緩解(CDM)計劃的一部分,了解如何適應(yīng)這些目標的方法非常重要。
云計算服務(wù)可以動態(tài)分配、使用和取消分配資源,以滿足高峰需求。幾乎任何系統(tǒng)都需要比其他系統(tǒng)更多的資源,而云計算允許計算、存儲和網(wǎng)絡(luò)資源隨著這種需求而擴展。例如Coalfire公司提供了一個安全解析工具(Sec-P),可以通過計算資源處理丟棄到云存儲桶中的漏洞評估文件。計算資源僅在處理文件時存在幾秒鐘,然后被拆解。諸如此類的示例以及無服務(wù)器架構(gòu)挑戰(zhàn)了傳統(tǒng)的連續(xù)監(jiān)視方法。
但是,潛在的解決方案在那里,包括:
•采用內(nèi)置服務(wù)和第三方工具
•部署代理
•利用基礎(chǔ)設(shè)施作為代碼(IaC)審核
•使用抽樣進行驗證
•開發(fā)自定義方法
采用內(nèi)置服務(wù)和第三方工具
動態(tài)云計算環(huán)境強調(diào)執(zhí)行主動和被動掃描以構(gòu)建庫存的不足之處。在采用傳統(tǒng)掃描工具評估資產(chǎn)之前,除了可以監(jiān)控資源變化的服務(wù)之外,每個主要云計算服務(wù)提供商(CSP)和許多規(guī)模較小的云計算提供商都需要提供庫存管理服務(wù),例如AWS系統(tǒng)管理器庫存管理器和Cloud Watch,微軟的Azure資源管理器和活動日志,以及谷歌的資產(chǎn)庫存和云計算審計日志。還可以使用高質(zhì)量的第三方應(yīng)用程序,其中一些甚至已經(jīng)獲得FedRAMP授權(quán)。無論使用何種服務(wù)和工具,這里的關(guān)鍵是將它們與現(xiàn)有持續(xù)診斷和緩解(CDM)方案或連續(xù)監(jiān)控解決方案的集成層連接起來。這可以通過API調(diào)用進出解決方案,這可以通過當前的持續(xù)診斷和緩解(CDM)程序要求實現(xiàn)。
部署代理
對于具有一定程度持久性的資源,代理是執(zhí)行連續(xù)監(jiān)視的好方法。代理可以與主機一起檢查以維護庫存,并在資源啟動后執(zhí)行安全檢查,而不必等待掃描。代理可以作為構(gòu)建過程的一部分安裝,甚至可以作為部署映像的一部分。與控制代理并與庫存進行比較的主節(jié)點連接是執(zhí)行基于云計算的不良資產(chǎn)檢測的一種很好的方式,這是持續(xù)診斷和緩解(CDM)的要求。本地使用的這個概念實際上是關(guān)于發(fā)現(xiàn)未經(jīng)授權(quán)的資產(chǎn),例如插入開放網(wǎng)絡(luò)端口的個人筆記本電腦。在云中,所有的問題都是從已經(jīng)批準的配置中查找出不符合安全要求的資產(chǎn)。
對于以前的示例中的Coalfire Sec-P工具這樣的資源,它在90%以上的時間里作為代碼存在,人們需要以不同的方式思考。代理方法可能不起作用,因為計算資源可能不會存在足夠長的時間甚至無法與主機連入,更不用說執(zhí)行任何安全檢查。
基礎(chǔ)設(shè)施作為代碼審查
IaC用于部署和配置計算、存儲和網(wǎng)絡(luò)等云計算資源。它基本上是一組“編程”基礎(chǔ)設(shè)施的模板。它不是云計算的新概念,但云中環(huán)境變化的速度正在將IaC帶入安全焦點。
現(xiàn)在,人們需要考慮如何對構(gòu)建和配置資源的代碼進行評估。如何做到這一點有很多工具和不同的方法。應(yīng)用程序安全性并不是什么新東西,當人們認為它是對基礎(chǔ)設(shè)施進行持續(xù)監(jiān)控的一部分時,它必須重新檢查。好消息是IaC使用結(jié)構(gòu)化格式和常用語言,如XML、JSON和YAML。因此,可以使用工具甚至編寫自定義腳本來執(zhí)行審閱。這種結(jié)構(gòu)化格式還允許對配置進行自動和持續(xù)監(jiān)控,即使資源僅作為代碼存在而且不是應(yīng)用??紤]使用資源的軟件是什么也很重要,因為利用的軟件包必須包含沒有漏洞的最新版本。代碼應(yīng)在更改時進行安全審核,因此可以持續(xù)監(jiān)控已批準的代碼。
設(shè)置資產(chǎn)到期是在利用IaC的高DevOps環(huán)境中強制執(zhí)行持續(xù)診斷和緩解(CDM)主體的一種方法。持續(xù)診斷和緩解(CDM)的目標是每72小時評估一次資產(chǎn),因此人們可以在時間范圍內(nèi)將它們設(shè)置為過期(因此被拆解,因此需要重建),以了解它們是否在使用經(jīng)過批準的代碼構(gòu)建的新基礎(chǔ)設(shè)施上。
采樣
采樣應(yīng)與上述方法結(jié)合使用。在資產(chǎn)總數(shù)總是在變化的動態(tài)環(huán)境中,應(yīng)該有一個堅實的團隊核心,可以通過傳統(tǒng)的主動掃描方式進行掃描。人們只需要接受無法掃描完整的庫存。與總資產(chǎn)相比,應(yīng)該有更少的配置文件或“黃金圖像”。而這種想法是,如果人們在任何給定掃描中都能獲得至少25%的每個配置文件,那么很有可能將找到同一配置文件的所有資源上存在的所有錯誤配置和漏洞,或識別資產(chǎn)遷移。這足以識別系統(tǒng)性問題,例如錯誤的部署代碼或使用過時軟件創(chuàng)建的資源。如果人們在配置文件中查找與同一配置文件中的其他配置文件存在較大差異的資源,則表明需要解決的DevOps或配置管理問題。在這里,并沒有放棄擁有完整庫存的概念,只能接受確實沒有這樣的事實。
專門為執(zhí)行安全測試而構(gòu)建IaC資產(chǎn)也是一個很好的選擇。這些資產(chǎn)可以具有持久性并“注冊”到持續(xù)監(jiān)控解決方案中,以通過儀表板或其他方式以類似于本地設(shè)備的方式報告漏洞。而漏洞總數(shù)是在這些樣本資產(chǎn)上找到的數(shù)量乘以應(yīng)用那些資產(chǎn)的數(shù)量。如上所述,人們可以從云計算服務(wù)商提供的服務(wù)或第三方工具中獲取。
自定義方法
如今,有許多不同的云計算服務(wù)商可用于無限的基于云計算的可能性,并且所有云計算服務(wù)商都有各種服務(wù)和工具可供他們使用。這里所評論的是高級概念,但每個客戶都需要根據(jù)其用例和目標了解詳細信息。
京公網(wǎng)安備 11010502049343號