NIST 发布用于云安全自动化的新计算机语言
2021-06-17
来源:关键基础设施安全应急响应中心
NIST于周四发布了开放安全控制评估语言(OSCAL) 的第一个版本。
OSCAL 能够以机器可读的格式表示云合规性和安全要求,例如广泛使用的可扩展标记语言 (XML)、JavaScript 对象表示法 (JSON) 和另一种标记语言 (YAML)。根据信息技术实验室计算机安全部 (CSD) 高级技术主管 Michaela Iorga 撰写的博客文章,OSCAL 中表示的合规性要求可能包括控制目录、控制基线、系统安全计划以及评估计划和结果。
由于 OSCAL 提供机器可读的格式,它将在已经高度自动化的云环境中实现更高程度的合规性和安全自动化,使评估能够跟上软件开发和 IT 运营的步伐。
OSCAL 将使根据自定义和既定网络安全标准(例如NIST 特别出版物 800-53 )更快速地评估云环境合规性和安全性变得更加容易 。
Iorga 写道:“OSCAL 的安全自动化支持针对多个监管框架对云服务的安全态势进行更严格、更快速和可重复的评估,并且减少来自人为因素的主观主义。” “使用 OSCAL,大约 60% 的评估可以自动化。”
保护国防部云环境的挑战
正人们所知,在 DoD 的云环境中实施DevSecOps和云基础设施即代码 (IaC) 的力度很大。DevSecOps 和 IaC 是独立的计划,但密切相关。DISA 的云计算项目办公室正在带头实施一项国防部范围内的 IaC 计划,美国空军首席软件架构师正在共同领导一项国防部范围内实施 DevSecOps 的计划。
严重依赖 IaC 的 DevSecOps 提供了机会,可以快速加快应用程序的开发速度并交付给作战人员和作战人员支持功能,例如物流——将开发和交付应用程序所需的时间从数年、数月或数周缩短到数小时甚至几分钟,在某些情况下。
但安全专家表示,实现这种交付速度的相同技术开启了越来越多的黑客攻击目标。这是许多国防部实体转向零信任安全的原因之一。在 IaC 的特定情况下,OSCAL 提供了在 DevSecOps 云环境中自动执行合规性和安全性评估的能力。
IaC 使用软件来管理基础设施(例如服务器),而不是依靠人工手动配置硬件。IaC 显着提高了供应、配置和管理云基础架构的效率。
DevSecOps 的基础是持续集成和持续部署 (CI/CD) 的原则。持续集成意味着新代码总是被测试,与其他代码更新相结合,并合并到现有代码中。此类代码更新可以包括新功能、错误修复和安全补丁。持续部署意味着更新的代码在应用程序准备就绪后立即合并到应用程序的代码库中,以便用户可以访问最新版本。
作为 CI/CD 的一个例子, 美国空军首席软件官兼国防部范围内实施计划的联合负责人 Nicolas Chaillan 表示,国防部每天“发布”其 Platform One(即 DevSecOps 环境)31 次,每个版本都会推出更新的代码。高度自动化的 DevSecOps 部分是使国防部每天 31 次发布成为可能的原因。
IaC 的一个好处是能够开发基于软件的机器可读模板,这些模板可以自动执行一系列任务,例如启动制作应用程序所需的云资源(例如,计算、内存、存储等)可供用户使用——无论是通过士兵的设备、在飞机上还是在船上访问该应用程序。高度自动化的 IaC 在一定程度上使快速可扩展性成为可能。
“IaC 是我们所做一切的基础,”Chaillan 在最近由关键基础设施技术研究所主办的关于新兴 IaC 和应用程序编程接口 (API) 网络安全威胁载体的活动中说。
但是 IaC 方法存在一个潜在问题。Rise8 首席网络安全工程师 Chris Hughes 在同一个 ICIT 活动中说:“这些模板可能存在配置错误或 [安全] 漏洞并大规模复制它们。” 这意味着应用到 100 台服务器的一个模板中的安全漏洞会迅速将安全漏洞传播到整个云环境。
由于 DevSecOps 云环境的动态性,这个问题变得更加复杂。实现速度的自动化还需要根据需要更改底层云基础架构,以扩展或缩减所需的 IT 资源。只要有人可以使用传统方法记录环境,它很可能会因为 CI/CD 而再次发生变化。
Hughes 指出,“过时文档的问题”给试图保护复杂、不断变化的环境的网络安全专业人员以及负责确保允许在国防部云环境中运行的 IT 安全合规性的人员带来了挑战——这是一个概念称为操作授权(AtO)。而在 CI/CD 环境中,必须有持续的 AtO。
多年来,技术作家一直在对工作流程进行现代化改造,并采用文档即代码等实践来与敏捷软件开发实践和 DevSecOps 环境保持一致。但是安全合规文档与开发人员或用户文档不同。生成安全合规性文档,然后——最重要的是——及时有效地将所需的安全配置快速应用到快速且频繁变化的 IT 环境中,这是一项新的挑战。
进入 OSCAL:自动化云合规性和安全评估
Iorga 创建了 OSCAL 来帮助解决动态和复杂的 IaC 云环境的挑战。在博客文章中,Iorga 总结了这一挑战:“二十年来,各机构努力实施管理和预算办公室的 A-130 号通告:将信息作为战略资源进行管理,但所采用的 [AtO] 流程依赖于基于纸张的文档、手动评估流程以及不支持安全数据可移植性的不可互操作的专有自动化流程和工具。”
而且,Iorga 继续说道,“随着系统变得越来越复杂和采用更多的云解决方案,安全从业人员和授权官员的工作变得更加困难——涉及多组文档,同时需要了解系统如何堆叠,相互依赖或互连以及如何继承控制以识别需要减轻的风险。”
这些传统的、基于纸张的安全合规流程与复杂、快速发展、不断变化的 DevSecOps 环境不符。那么,运营商如何确保 DevSecOps 环境中的安全合规性和 AtO 要求?嗯,当然是自动化。
OSCAL 的“互操作性和便携性”特性意味着它可以用于各种云环境——从国防部和情报界到联邦文职政府,甚至商业部门。