學習欣然接受稽核與合規 - 這是有可能的
對大多數企業而言,保護在公用雲端中的執行工作負載並遵守合規標準是不容妥協的事。 然而,整合必要的能見度、對應與監控功能,通常需要人工處理且相當耗時。 因此,稽核與合規工作可能會造成安全和合規團隊的延誤和焦慮。
由於稽核與合規要求是雲端基礎架構中眾所周知的難題,因此「欣然接受」聽起來可能不切實際。 在這篇部落格文章中,我們將探討雲端環境中的合規與存取安全挑戰,以及安全專家如何運用合適工具和策略輕鬆完成稽核。
儘管看似簡單,但在雲端中實現合規性,並非填寫一些表格就能完成。 雖然有些監管標準和最佳做法在其說明中非常具體,但其他許多標準則抽象得多。 抽象的標準可能要求您達成特定目標,卻沒有說明該如何實作。 在這種情況下,需要實施哪些方法和工具來達到標準,以及如何確保持續合規,只能靠猜測。
某些標準之所以抽象,是因為安全並非一體適用的做法。 特別是雲端環境是多面向且動態的,並且不斷出現新的弱點。 此外,企業也會因其產業、公司規模和地點而有不同的合規要求。 就算寫得再長、再完整的具體合規性說明清單,也無法涵蓋所有可能的安全情況。
複雜的法規和架構組合只是讓雲端環境中的安全合規如此具有挑戰性的一個面向。 在大多數企業中,許多團隊和工具在企業的雲端生態系統中運作,包括:
- 開發並維護雲端環境的基礎架構團隊;
- 將程式碼部署至正式環境的開發人員;以及
- 佈建新服務與人員身分的身分和存取管理 (IAM) 專業人員
涉及眾多利害關係人,因此安全團隊難以將基本合規性細節 (例如正在執行的資源及其權限) 對應到產業基準,這極其耗時。 更複雜的是,許多企業將多個雲端服務供應商 (CSP) 與內部部署基礎架構結合使用。這讓合規團隊陷入無休止的電子郵件往來和會議中,卻只能依據幾乎剛建立就已過時的資產庫工作。
儘管合規團隊可能首當其衝,但合規性對 DevOps 和基礎架構團隊來說也絕非易事。 他們常常被迫匆忙提供有關其雲端資源的精細深入解析。
若無雲端架構的集中檢視,合規團隊就無法跨多個雲端查看或監控應用程式執行時組態的頻繁變更。 更難以隔離合規性問題,例如公開暴露的 Lambda 服務或不良的存取管理,更遑論優先考慮哪個問題需要首先修復。
透過 CNAPP 欣然接受稽核
高品質的雲端原生應用程式保護平台 (CNAPP),包含基礎架構組態管理、集中式多重雲端能見度與可自訂的報告功能,可為團隊減輕許多與合規性相關的工作。 此外,良好的 CNAPP 不僅能符合合規性,還能根據最佳做法強化企業的安全態勢。 因為許多資深安全專家都知道,證明合規僅為整體安全策略的一環。 您也許能夠通過稽核,但若沒有跟上新型和崛起的最佳做法,您的雲端安全態勢就會受到影響。 理想的 CNAPP 將平衡合規性與安全最佳做法,並提供以下四大功能:
1.監管範圍的廣度與深度
解決方案應涵蓋廣泛的安全最佳做法,以及領先的產業和合規標準。 包含:
- 網際網路安全中心 (CIS)、國際標準化企業 (ISO) 和美國國家標準與技術研究院 (NIST) 等機構的基準
- 產業準則,例如支付卡產業 (PCI) 資料安全性標準 (DSS) 和美國註冊會計師協會 (AICPA) 服務組制控制 (SOC) 類型 2
- 一般資料保護法 (GDPR) 和健康保險便利和責任法案 (HIPAA) 等法規。
確保您需要遵循的標準已包含在平台提供的範本中,而且這些範本經常更新。 除了提供廣泛立即可用的標準和原則之外,解決方案也應能讓使用者根據不斷變化的需求自訂,以滿足不屬於現有合規類別的新興需求。
圖片來源: Tenable Cloud Security
2.合規性與雲端的關聯
背景資訊在安全性和合規方面很重要。 您應該能輕鬆地將每個標準對應到特定的雲端組態、雲端資源和雲端活動原則,同時提供每個資產/帳戶之合規性狀態的明確清單。 例如,公開暴露的 Amazon Web Services (AWS) Lambda 服務可能會規避雲端安全聯盟 (CSA) STAR 計畫標準、ISO 和 NIST 架構,或違反合規性法規。 在 CNAPP 中擁有這種等級的精細度,可協助您深入研究可能不合規的領域,並使用內建的自動化功能快速修復。
圖片來源: Tenable Cloud Security
3.持續監控
要了解自身相對於產業標準和最佳做法的落差,不該耗費一週的時間。 像 Tenable Cloud Security 這樣的解決方案會根據架構和基準不斷檢查整個環境,以確保合規性並識別偏差和異常。 您和您的任何利害關係人應該隨時都能看到合規狀態,而不需要等待繁瑣的稽核。 任何監控上的延遲都會讓您容易受到不良行為者的攻擊。
圖片來源: Tenable Cloud Security
4.彈性報告
CNAPP 應透過能見度和針對所有企業層級的彈性報告,協助您向稽核人員展示合規性。 例如,您的工具應能讓您查看整個企業的安全態勢和合規性,也能讓您深入了解特定帳戶與特定專案,藉此輕鬆為內部和外部稽核人員產生合規報告。
圖片來源: Tenable Cloud Security
總結
要在雲端環境中實現合規性,首先要將抽象的合規準則轉化為實際可行的雲端架構。 了解您擁有哪些雲端資產、哪些類型的弱點會讓它們容易受到攻擊,以及這些弱點與稽核準則之間的關係,對於實現監控、報告和修復等持續合規工作極其重要。 對應您的環境後,您就能繼續根據合規性或自訂原則進行自動化監控。 最後,您可以產生協助向稽核人員展示合規性的自動化報告。 Tenable Cloud Security 可協助您完成所有這些工作,以減少合規障礙,並協助您欣然接受安全稽核。
如需有關 Tenable Cloud Security 的詳細資訊或申請示範,請造訪 Tenable Cloud Security 產品頁面:https://www.tenable.com/products/tenable-cloud-security
相關文章
Identity is the New Perimeter: Why Your IdP Isn’t Enough
In a cloud-first world, identity is one of the most critical layers of security. While organizations are making progress using IdPs, major identity protection gaps remain....
Cybersecurity Snapshot: SharePoint Attacks Trigger Urgent Patching Calls, While U.S. Gov’t Unveils AI Innovation Plan
Check out the latest on attackers’ cyber siege of SharePoint servers. Plus, the White House releases plan to spur AI innovation. In addition, CISA alerts orgs about Interlock ransomware. And get the latest on Q2's top malware; ransomware trends; and credentialed scanning....
Tackling Shadow AI in Cloud Workloads
As enterprise adoption of cloud AI systems balloons, protecting them has become a priority for cybersecurity teams. Shadow AI – the rampant, unsanctioned use of AI apps and services – has emerged as a particularly critical threat. Here we outline two best practices that can help you combat shadow AI...
- Cloud
- Compliance
- Cloud
- Exposure Management